Windows提权之Hot Potato

文章前言

Hot Potato是Stephen Breen发现的Windows权限提升技术的代号，这种技术实际上是两个已知的windows问题的结合，如nbns欺骗和ntlm中继，以及在目标主机上本地运行的假wpad代理服务器的实现。

Microsoft已经修补了通过smb等相同协议的ntlm身份验证，但是这种技术使用http到smb身份验证来创建高特权服务，因为http请求可能来自windows update等高特权服务，由于流量包含ntlm凭据，并且正在通过一个伪造的代理服务器，因此可以将其捕获并传递给本地smb侦听器，以创建一个提升的服务，该服务可以作为系统执行任何命令。

此问题影响各种windows版本如下所示：

• Windows 7
• Windows 8
• Windows 10
• Windows Server 2008
• Windows Server 2012

认证用户

Stephen Breen开发了一个二进制程序(https://github.com/foxglovesec/Potato )，可以自动执行这些攻击，并可以在目标系统上以更高的权限执行任何命令，作为一个经过身份验证的用户(pentestlab )，首先应该检查机器上的本地管理员是谁

一旦从命令提示符在系统上删除了带有相关dll的Potato载荷，就可以执行以下命令，以便在127.0.0.1上本地启动nbns欺骗

Potato.exe -ip -cmd [cmd to run] -disable_exhaust true -disable_defender true

从通过已配置的internet explorer生成http流量的那一刻起(例如使用公司代理设置)，攻击将被部署，cmd命令将以更高的权限执行：

在本例中，pentestlab用户被添加到本地administrators组，这意味着提升是可能的

Metasploit

可以使用Metasploit框架来获得一个Meterpreter会话作为system，而不是向本地administrators组添加新用户，这可以通过使用一个额外的metasploit有效负载来实现，该有效负载应该放在目标上(除了hot potato利用之外)，并通过多个metasploit处理程序来实现，Hot Potato参数中唯一需要修改的是需要执行的命令，不是将pentestlab用户添加到本地管理员组，而是执行msfvenom创建的metasploit有效负载pentestlab3.exe：

第二个shell是必要的，因为它将用于启动http流量，这是一个棘手的问题，避免了等待下一次windows更新的时间，这一点已经在与此权限提升方法相关的web上的各种来源中进行了描述，从第一个shell开始，为了运行有效负载，将对Potato漏洞进行轻微修改：

在第二个shell中，应该启动internet explorer，这样漏洞就可以捕获http流量：

这将导致hot potato使用的一系列攻击，如nbns欺骗和ntlm中继，通过不同的协议(http到smb)来创建一个新的系统服务，该服务将执行pentestlab3负载：

应该使用第三个metasploit处理程序来捕获已经以更高的权限执行的有效负载：

PowerShell

有一个替代选项，它模拟了powershell中的hot potato漏洞，称为tater，此脚本包含在Empire、p0wnedshell和ps >Attack，它有两种方法来执行权限提升

• NBNS WPAD Bruteforce + Windows Defender Signature Updates
• WebClient Service + Scheduled Task

该脚本已经在Windows 2008 server R2环境中测试过，但是它似乎不像在windows 7和windows 10中那样可靠，因此，下面的截图来自这个工具的所有者，而不是来自pentestlab，但它被用来快速参考powershell中的hot potato攻击

Windows 7：

Windows 10：

相关链接

https://github.com/foxglovesec/Potato https://foxglovesecurity.com/2016/01/16/hot-potato/ https://github.com/Kevin-Robertson/Tater