在msf和powershell中利用hotpotato进行提权

简介: 本文讲的是在msf和powershell中利用hotpotato进行提权,通过类似SMB协议的NTLM认证已经被微软修补了,不过HTTP到SMB正在使用这种验证,并且还用于创建高权限服务中。因为流量包中含有NTLM凭据并且正在通过伪代理服务器,因此可以将其捕获并传递到本地SMB侦听器,作为SYSTEM权限执行任何命令。
本文讲的是 在msf和powershell中利用hotpotato进行提权通过类似SMB协议的NTLM认证已经被微软修补了,不过HTTP到SMB正在使用这种验证,并且还用于创建高权限服务中。因为流量包中含有NTLM凭据并且正在通过伪代理服务器,因此可以将其捕获并传递到本地SMB侦听器,作为SYSTEM权限执行任何命令。

Stephen Breen在他的博客(https://foxglovesecurity.com/2016/01/16/hot-potato/)中描述了这次攻击的所有阶段。这次攻击适用的平台:

Windows7
Windows8
Windows10
Windows Server 2008
Windows Server 2012

在命令行下进行权限提升

Stephen Breen开发了一个可执行文件,可以自动执行这些攻击,并可以在目标系统上执行任何命令,并进行提权。作为认证用户(pentestlab),首先要检查机器上的本地管理员。

在msf和powershell中利用hotpotato进行提权

Potato与DLL相关联,一旦DLL被系统运行,potato就可以在系统命令下运行,然后可以执行以下操作,以便在本地(127.0.0.1)启动NBNS欺骗。

Potato.exe -ip -cmd [cmd to run] -disable_exhaust true -disable_defender true

在msf和powershell中利用hotpotato进行提权

这时的http通信是通过经过配置的浏览器发出的(比如使用公司的代理设置),我们从下图可以看到我们的攻击将要完成,并且可以以更高的权限执行系统命令。

在msf和powershell中利用hotpotato进行提权

在msf和powershell中利用hotpotato进行提权

在这个例子中,pentestlab用户已经被添加到管理员组,这说明我们的攻击已经成功。

在msf和powershell中利用hotpotato进行提权

使用msf进行权限提升

当然也可是使用MSF进行攻击,进而拿到一个具有系统权限的meterpreter后门,而不只是在管理组添加一个用户。这可以通过额外的Msf攻击载荷来实现,当然你需要把Hot Potato的exp以及msf生成的后门放到你的目标机器上面。

在Hot Potato中,你只需要设置你要执行的命令。在Hot Potato中执行的命令不是将pentest用户添加到管理员组,而是运行msfcvenom生成的msf后门pentest3.exe。

在开始提权之前,我们在另外一个窗口获取到一个普通权限的shell,然后运行pentestlab3.exe,并且在刚才的窗口使用msf中的handler模块来接受连接。

在msf和powershell中利用hotpotato进行提权

在msf和powershell中利用hotpotato进行提权

一定要打开第二个shell,因为它用于Hot Potato在HTTP通信过程避免等待时间,并且打开浏览器进行通信。当然这与这种提权方法有关。
在第一个shell中,我们执行Potato的exp,略微修改它的执行命令,让他运行我们的后门程序"pentestlab3.exe":

在msf和powershell中利用hotpotato进行提权

在第二个shell中打开ie浏览器,以便第一个shell可以捕获http流量。

在msf和powershell中利用hotpotato进行提权

这将导致Hot Potato通过不同的协议(HTTP到SMB)创建一个系统服务执行pentestlab3.exe后门:

在msf和powershell中利用hotpotato进行提权

在msf和powershell中利用hotpotato进行提权

第三个Msf的handler应该用于侦听系统权限返回的meterpreter的shell。

在msf和powershell中利用hotpotato进行提权

使用powershell进行权限提升

有一个替代选项,它模拟PowerShell中的Hot Potato漏洞,称为Tater。该脚本包含在Empire,OwnedShell和PS> Attack中,它有两种执行权限升级的方法。

1.NBNS WPAD暴力破解+Windows Defender签名更新
2.WebClient服务+计划任务命令

该脚本已经在Windows 2008 Server R2环境中测试,但它似乎在Windows 7和Windows
10不能有效地攻击。因此,下面的截图来自该工具的所有者,而不是Pentestlab,但它可以用于快速在Powershell中引用Hot
Potato攻击。

在msf和powershell中利用hotpotato进行提权




原文发布时间为:2017年4月18日
本文作者:xnianq
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 Shell 网络安全
MSF框架讲解
MSF框架讲解
|
安全 Windows
[windows提权] 注册表AlwaysInstallElevated提权
注册表AlwaysInstallElevated是策略设置项,允许低权限用户以system权限运行安装文件,powerup中的Get-RegistryAlwaysInstallElevate模块可用来检查注册表键是否被设置。如果为Ture就证明是以system权限运行的,可提权。
370 0
|
安全 Shell 数据安全/隐私保护
[windows提权] 详解-可信任服务路径提权
"包含空格但没有引号的服务路径",利用windows解析文件路径的特性,如果一个服务的可执行文件路径热设置不当,攻击者可构造对应的可执行文件,从而利用提权,powerup的Get-ServiceUnquoted模块、配合MSF,可以自动化帮我们完成提权
282 0
|
安全 Windows
windows提权
windows提权
153 0
|
XML 安全 网络协议
干货 | 最全windows提权总结
干货 | 最全windows提权总结
868 0
|
安全 数据安全/隐私保护 Windows
记一次简单的win提权
记一次简单的win提权
|
安全 Unix Java
MSF1
Metasploit是一个开源的、用Ruby脚本语言写的渗透测试框架(Metasploit Framework,MSF),该框架集成了很多可用的渗透利用工具,用户可以在这个框架下进行一系列的渗透测试,利用现有的装备(Payload),如Meterpreter等进一步获取对方的Shell。Metasploit功能强大,可以帮助安全人员评估系统安全性,发现系统的安全漏洞,对漏洞的防范措施进行验证,并提供真正的安全风险情报,因此几乎每一个从事渗透测试的人都会接触到它,是渗透测试最常用的工具。
|
Web App开发 安全 JavaScript
MSF6
目前msfvenom工具已经取代了metasploit-framework旗下的msfpayload(载荷生成器)和msfencoder(编码器)。
|
网络协议 安全 关系型数据库
MSF7
在 Metasploitable 靶机上运行后门程序“ shell_zbj. elf ”,该程序运行起来后会连接Kali虚拟机
|
安全 Shell 网络安全
MSF3
metasploit攻击载荷模块有三种类型,分别是独立攻击载荷(Singles)传输器载荷(Stager)和传输体载荷(Stage)。