欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Windows系统安全风险-本地NTLM重放提权

程序员文章站 2021-11-26 07:11:25
Windows系统安全风险-本地NTLM重放提权入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修... 21-04-15...

经我司安全部门研究分析,近期利用ntlm重放机制入侵windows 系统事件增多,入侵者主要通过potato程序攻击拥有system权限的端口伪造网络身份认证过程,利用ntlm重放机制骗取system身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:

1、关闭dcom功能

下面列出关闭dcom步骤win2008/2012/2016/2019均适用

打开 控制面板->管理工具->组件服务

展开 组件服务-计算机 ,右击 我的电脑 选择 属性

Windows系统安全风险-本地NTLM重放提权

点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式com”的,再确定即可

Windows系统安全风险-本地NTLM重放提权

建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add hklm\software\microsoft\ole /v enabledcom /t reg_sz /d n /f 进行关闭。

2、如果在使用iis,建议删除iis中的iis6管理兼容

服务器管理-角色服务管理-删除角色和功能

Windows系统安全风险-本地NTLM重放提权

Windows系统安全风险-本地NTLM重放提权

如上图所示就可以了

提权案例

提权案例: https://mp.weixin.qq.com/s/qxcoq9zne6cibrbjmurifa 请务必重视做好安全设置

potato – 本地特权提升工具

这是又一个本地特权提升工具,从windows服务帐户到nt authority\system ,如果用户拥有seimpersonate 或拥有seassignprimarytoken 权限,那么你就可以获取到system。

potato首先是想办法使自己成为一个中间人,再找到一种触发windows更新机制的方法,或者干脆等待windows定时检查更新。检查更新时实际上是系统的更新服务作为具有高权限的客户端,发出http请求,potato中间人在响应中重定向并要求客户端进行认证,利用高权限的客户端向本地假http服务的认证过程,将认证数据转发给系统的rpc服务,迫使系统rpc服务认为potato中间人是个具有高权限的客户,从而完成提权!

简单分析下potato的缺点:

在windows 7下,potato利用windows defender的更新机制可以做到立即。而在其他环境下,potato在提权时第一阶段会使用nbns spoofer技术,会快速发送大量的数据包,测试来看还是比较消耗cpu的,而且要等待较长时间。目前还未测试在该过程中是否会影响到主机访问网络,毕竟部分网络数据被发往127.0.0.1:80。

potato的具体代码实现就不多说了,可以转换成其他语言编写,从而不依赖.net,使其适用范围更大。

详细网址:https://www.freebuf.com/sectool/98316.html

相关标签: 提权 NTLM