关于土豆家族
首先要了解的是,甜土豆只是土豆家族的一员,基于该靶机的环境,我们选择使用了甜土豆而已,不是所有的牛奶都叫特仑苏,也不是所有的土豆提权都是甜土豆
参考文献来自群友大佬的博客
土豆家族介绍
当我们获取web/数据库的权限的时候(一般是用mdut进行sql类提权得到数据库权限),我们可以通过土豆家族来进行提权,把权限提升到NT AUTHORITY\SYSTEM特权
土豆家族原理
摘自大佬博客
1 | 土豆系列提权的核心是NTLM中继,通过欺骗运行在高权限(Administrator/SYSTEM)的账户进行ntlm认证,同时作为中间人对认证过程进行劫持和重放,最后调用本地认证接口使用高权限账号的ntml认证获取一个高权限token,只要当前进程拥有SeImpersonatePrivilege权限即可进行令牌模仿,即可取得对应权限。 |
土豆家族种类/成员
这里只讲几种比较常见的土豆,要看更多的土豆可以去大佬博客
GodPotato
几乎可以在任何版本的Windows系统上运行github
Windows Server 2012 - Windows Server 2022 Windows8 - Windows 11
这些版本都是GodPotato所适用的
使用例子
1 | # 执行windows系统命令 |
SweetPotato
https://github.com/uknowsec/SweetPotato
注意这里有老版本和新版本,在春秋云镜Tsclient中使用老版本是不行的,需要使用新版本
适用范围
从Windows 7到Windows 10 / Server 2019均适用
使用例子
1 | SweetPotato.exe -a "whoami" |
RoguePotato
https://github.com/antonioCoco/RoguePotato
1 | Rogue Potato通过指定远程 IP(攻击者 IP)指示 DCOM 服务器执行远程 OXID 查询在远程 IP 上,设置一个"socat"侦听器,用于将 OXID 解析请求重定向到一个假的OXID RPC |
类似反弹shell?
适用范围为Win 10(部分版本)和Win Server 19
使用例子
1 | #攻击机: |
BadPotato
https://github.com/BeichenDream/BadPotato
适用范围:
Windows 2012-2019
Windows 8-10
这个是利用了一个打印机的漏洞(解释的博客叽里咕噜说啥呢,听不懂)
使用例子
1 | BadPotato.exe whoami |
Cobalt-Strike
https://c1trus.top/26-tools/cs%E4%BD%BF%E7%94%A8.html
其实也很老套了,没什么好讲的,在做的过程中看文档和博客就能了解的差不多了
Stowaway
用这玩意搭建内网代理还挺方便的,我在内网代理搭建那篇文章中已经写过了
参考群友大佬的博客
https://c1trus.top/26-tools/stowaway%E6%90%AD%E5%BB%BA%E5%A4%9A%E7%BA%A7%E7%BD%91%E7%BB%9C%E4%BB%A3%E7%90%86.html
proxychains
命令行代理神器属于是了
https://zhuanlan.zhihu.com/p/166375631
https://blog.csdn.net/eason612/article/details/129678930
Impacket类脚本的利用
https://c1trus.top/26-tools/impacket%E8%84%9A%E6%9C%AC%E5%88%A9%E7%94%A8%E6%8C%87%E5%8D%97.html
当然了我这里利用的两个脚本是这份博客中没提到的,一份是smbpasswd脚本,还有一份是wmiexec
这两个在kali中其实也是有已经集成编译好的工具了,这里主要是为了配合代理工具proxychains的使用,所以才改成用脚本执行的(骗你的,其实我只是照抄wp,直接使用编译好的工具也是可以的)
https://www.cnblogs.com/wj78080458/p/10847658.html通过阅读这篇博客,可以知道其实smbpasswd其实就是用于修改密码的
而wmiexec,其实也就是用来进行连接的(半交互式shell,支持使用NTLM hash连接)https://www.cnblogs.com/smileleooo/p/18262133#wmiexecpy