經(jīng)我司安全部門研究分析，近期利用NTLM重放機(jī)制入侵Windows 系統(tǒng)事件增多，入侵者主要通過(guò)Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡(luò)身份認(rèn)證過(guò)程，利用NTLM重放機(jī)制騙取SYSTEM身份令牌，最終取得系統(tǒng)權(quán)限，該安全風(fēng)險(xiǎn)微軟并不認(rèn)為存在漏洞，所以不會(huì)進(jìn)行修復(fù)，為了您的服務(wù)器安全，我們建議您進(jìn)行一下安全調(diào)整：

1、關(guān)閉DCOM功能

下面列出關(guān)閉DCOM步驟win2008/2012/2016/2019均適用

打開(kāi) 控制面板->管理工具->組件服務(wù)

展開(kāi) 組件服務(wù)-計(jì)算機(jī) ，右擊 我的電腦 選擇 屬性

點(diǎn)擊 默認(rèn)屬性選項(xiàng)卡，取消勾選 “在此計(jì)算機(jī)上啟用分布式COM”的，再確定即可

建議使用windows的都關(guān)閉此項(xiàng)以減小被入侵風(fēng)險(xiǎn)。
您也可以直接在命令行執(zhí)行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 進(jìn)行關(guān)閉。

2、如果在使用iis，建議刪除IIS中的IIS6管理兼容

服務(wù)器管理-角色服務(wù)管理-刪除角色和功能

如上圖所示就可以了

提權(quán)案例

提權(quán)案例： https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 請(qǐng)務(wù)必重視做好安全設(shè)置

Potato – 本地特權(quán)提升工具

這是又一個(gè)本地特權(quán)提升工具，從Windows服務(wù)帳戶到NT AUTHORITY\SYSTEM ，如果用戶擁有SeImpersonate 或擁有SeAssignPrimaryToken 權(quán)限，那么你就可以獲取到SYSTEM。

Potato首先是想辦法使自己成為一個(gè)中間人，再找到一種觸發(fā)Windows更新機(jī)制的方法，或者干脆等待Windows定時(shí)檢查更新。檢查更新時(shí)實(shí)際上是系統(tǒng)的更新服務(wù)作為具有高權(quán)限的客戶端，發(fā)出http請(qǐng)求，Potato中間人在響應(yīng)中重定向并要求客戶端進(jìn)行認(rèn)證，利用高權(quán)限的客戶端向本地假http服務(wù)的認(rèn)證過(guò)程，將認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)給系統(tǒng)的RPC服務(wù)，迫使系統(tǒng)RPC服務(wù)認(rèn)為Potato中間人是個(gè)具有高權(quán)限的客戶，從而完成提權(quán)！

簡(jiǎn)單分析下Potato的缺點(diǎn)：

在Windows 7下，Potato利用Windows Defender的更新機(jī)制可以做到立即。而在其他環(huán)境下，Potato在提權(quán)時(shí)第一階段會(huì)使用NBNS Spoofer技術(shù)，會(huì)快速發(fā)送大量的數(shù)據(jù)包，測(cè)試來(lái)看還是比較消耗CPU的，而且要等待較長(zhǎng)時(shí)間。目前還未測(cè)試在該過(guò)程中是否會(huì)影響到主機(jī)訪問(wèn)網(wǎng)絡(luò)，畢竟部分網(wǎng)絡(luò)數(shù)據(jù)被發(fā)往127.0.0.1:80。

Potato的具體代碼實(shí)現(xiàn)就不多說(shuō)了，可以轉(zhuǎn)換成其他語(yǔ)言編寫，從而不依賴.NET，使其適用范圍更大。

詳細(xì)網(wǎng)址：https://www.freebuf.com/sectool/98316.html

最新評(píng)論