PrivEsc Какие эксплойты актуальны на данный момент для локального повышения привелегий ? ( LPE )

[Japok]

Всем привет! Во время работы частенько оказываюсь в ситуациях,когда уж прям необходимо повысить локально свои привелегии, чтобы сдампить lsass, поставить закреп итд. Кому не лень, не могли бы оставить список актуальных эксплойтов для локального повышения привелегий на данный момент. Сплойты на подобии PrintNigtmare итд. Заранее спасибо всем =)

 

[swagcat228]

Сервис создаешь, и он запускается в контексте системы.

 

[WellDone]

Сервис создаешь, и он запускается в контексте системы.

Это не эксплойт, у вас должны быть права админа для этого

когда уж прям необходимо повысить локально свои привелегии, чтобы сдампить lsass

powerup - на практике не видел правда чтобы он реально что-то поднимал
Актуальные эксплойты смотри просто по апдейты в системе, релей с вебдава на лдап если воркстейшн машина и не включена подпись
Вообще лучше забей на локальные привилегии и пытайся поднять доменные, большая часть ЛПЕ это баги связанные с повреждением памяти и они бывают стабильны примерно никогда
Роняешь машину в бсод -> доступ пока-пока

 

[yellow]

Сервис создаешь, и он запускается в контексте системы.

ему с пользака нужно - там нельзя службы создавать, мэн.
потому как от админа он деф выключит и сдампит лсасс и без системы а если кроме деф-a EDR на хосте - то ему и права системы не помогут.

 

[fix_problem]

Тут поищи https://github.com/Ascotbe/Kernelhub/tree/master/Windows

 

[swagcat228]

ему с пользака нужно - там нельзя службы создавать, мэн.
потому как от админа он деф выключит и сдампит лсасс и без системы а если кроме деф-a EDR на хосте - то ему и права системы не помогут.

Ну еще варсонг есть один - это коряво подгружаемые либы.
Типа качаем ставим procmon и смотрим какие приложения как импорьят либы. Находим приложение, которое ищет либу не по полному пути, а по относительному. Компилим либу, скармливаетэм (кладем, ждем), профит.

По поводу лсаса - ну смотри, я хоть и из мира линукса, но...
Диск ц - это по сути просто блочное устройство.
У него есть иноды, и с него можно читать по оффсету как с обычного файла размером в надцать гигов.

Осталось только найти оффсет где живет фазан лсас

 

[swagcat228]

каким образом edr мешает сдампить память lsass-а? Бывает такое что дампфайл создается, но pypykatz, к примеру, плюет ошибку key import failed

На уровне ринг0, тобишь ядра, смотрят за нейтив апи, и становится понятно кто свои рученки потянул к яблоку искушения

 

[swagcat228]

Большая часть ЛПЕ это баги связанные с повреждением памяти и они бывают стабильны примерно никогда

Да ну ладно тебе, потатосы одни чего стоят.

 

[yellow]

Ну еще варсонг есть один - это коряво подгружаемые либы.

за криво подгружаемыми либами - следит EDR и давно.
и если будешь совсть куда попало и че попало - с хоста тебя удалят

ну смотри, я хоть и из мира линукса, но...
Диск ц - это по сути просто блочное устройство.

далее за прямые нтфс транзации EDR по попе надают. а читать физическую память нужен драйвер - через драйвер можно все что угодно
при все к вам уважении -- линукс дистры в целом безащитны от дестков методов LPE - работать с nix-ами куда проще не нужно себе голову забивать всякими evasions - если залил шелл - поднимешь в 95% случаев - на винде с EDR если у тебя полязак - без 0day LPE - в тех же 95% - с хоста просто выгонят сразу после пары не удачнх махинаций.

Осталось только найти оффсет где живет фазан лсас

любопытная теория про оффсеты конечно только есть одно но - лсасс не хранится на диске - нужно дампить из RAM

 

[swagcat228]

за криво подгружаемыми либами - следит EDR и давно.
и если будешь совсть куда попало и че попало - с хоста тебя удалят

далее за прямые нтфс транзации EDR по попе надают. а читать физическую память нужен драйвер - через драйвер можно все что угодно
при все к вам уважении -- линукс дистры в целом безащитны от дестков методов LPE - работать с nix-ами куда проще не нужно себе голову забивать всякими evasions - если залил шелл - поднимешь в 95% случаев - на винде с EDR если у тебя полязак - без 0day LPE - в тех же 95% - с хоста просто выгонят сразу после пары не удачнх махинаций.

любопытная теория про оффсеты конечно только есть одно но - лсасс не хранится на диске - нужно дампить из RAM

Ну что-то на диске хранится, раз его можно забекапить и потом слить.

Вообще приятно читать по существу от мембера с премиумом, думал премиумы у баблоделов в преимущественном большинстве.

На счет линукс дистров - дело в том, что правильно настроенный дистр не даст сделать вообще абсолютно ничего. Негде будет боком перемещаться, а от LPE есть LKRG, который сводит аттак сюрфэйс к ~1%.

А так, в целом, понятно что каждая лягушка свое болото хвалит, и в общем случае 100% правильно настроенный едр/линукс -- это бронебойная х#йня с логами.

Но, всегда, или почти всегда, есть отверстие)

 

[yellow]

Негде будет боком перемещаться, а от LPE есть LKRG, который сводит аттак сюрфэйс к ~1%.

да-да все так. я про реалии писал. за три - четерые последних года не помню чтоб видел линусковый хост на котором не взять рута,
потому что повально - ядро стоит годовалой давности а то и старше + нету EDR \ AV - риски там куда меньше - в бок то не проходят
с линукс хоста так просто как на винде - травить кэш dns\dhcp молодеж не умеет.

который сводит аттак сюрфэйс к ~1%.

На рутованом линуксе ты царь и бог - и поверхность атаки внушительная там - даже если там есть какой то софт для респонза и детектов - переиграть его нет проблем - ухожишь в ядро - и ты в дамках
далее по теме - LKRG как и все прочие техники защиты от мемари_корпашен багов байпасятся. Слабость linux-based хостов в том что многие не видел там attack_surface и
тот потенциал что в них заложен на linux системе куда про жить месяцами - а это значит - если linux в доменой сети - ее за это время пробьют митмом либо сплоитами.

и в общем случае 100% правильно настроенный едр/линукс -- это бронебойная х#йня с логами.

повторюсь еще раз - это теория. в теории все так. на практике так будет только если систему настраивает пентестер с опытом.
я согласен с вами в том что можно сильно понизить поверхонсть атаки - настолько что только APT-шники, с их ресурсами смогут пробится и поиметь выгоду - на практике
так почти никто не делает держать в штате пентестера - не дешево.

нынче корп. сегмент уже не тот - бывает ждать в засасде нужно месяцами - вычисляя локацию бэккапов и собирая креды от них

Ну что-то на диске хранится, раз его можно забекапить и потом слить.

на винде на диске могу быть бэккапы виртуалок всякие хранилища типа keepass \ lastpass - которые можно забрать и брутить а с образов вирталок которые лежат в бэкапах тоже можно налутать всякого полездного
такое может быть - но это уже скорее всего не на точке входа в сеть

 

[swagcat228]

да-да все так. я про реалии писал. за три - четерые последних года не помню чтоб видел линусковый хост на котором не взять рута,
потому что повально - ядро стоит годовалой давности а то и старше + нету EDR \ AV - риски там куда меньше - в бок то не проходят
с линукс хоста так просто как на винде - травить кэш dns\dhcp молодеж не умеет.

На рутованом линуксе ты царь и бог - и поверхность атаки внушительная там - даже если там есть какой то софт для респонза и детектов - переиграть его нет проблем - ухожишь в ядро - и ты в дамках
далее по теме - LKRG как и все прочие техники защиты от мемари_корпашен багов байпасятся. Слабость linux-based хостов в том что многие не видел там attack_surface и
тот потенциал что в них заложен на linux системе куда про жить месяцами - а это значит - если linux в доменой сети - ее за это время пробьют митмом либо сплоитами.

повторюсь еще раз - это теория. в теории все так. на практике так будет только если систему настраивает пентестер с опытом.
я согласен с вами в том что можно сильно понизить поверхонсть атаки - настолько что только APT-шники, с их ресурсами смогут пробится и поиметь выгоду - на практике
так почти никто не делает держать в штате пентестера - не дешево.

нынче корп. сегмент уже не тот - бывает ждать в засасде нужно месяцами - вычисляя локацию бэккапов и собирая креды от них

на винде на диске могу быть бэккапы виртуалок всякие хранилища типа keepass \ lastpass - которые можно забрать и брутить а с образов вирталок которые лежат в бэкапах тоже можно налутать всякого полездного
такое может быть - но это уже скорее всего не на точке входа в сеть

Хах, по поводу молодежи, что неумеет спуфать/снифать/травить -- я вам больше скажу, у 80% вертикальный предел это натравить на таргет сетку нмап, причем чаще всего через вебморду крякнутого метаса...

Такое понятие, как фингерпринты кричащие "Я СКАНЕР" истошным криком в рупор, которые там в каждом icmp/http пейлоаде -- им неведомо абсолютно.

За сложные атаки никто не хочет браться, их главарей интересует формула "как можно меньше хостов, как можно больше ревеню". Атаки через 3рд-пати вообще не рассматриваются.

Со стороны вспоминается сказ Пелевина, где платили хлебом и в-вами. Потом просто в-вами.

Да и беседа с некоторыми представителями вида, и их преспешниками, напоминает диалог с гопниками)))

Смешно и грустно, товарищи...

 

[yellow]

Да и беседа с некоторыми представителями вида, и их преспешниками, напоминает диалог с гопниками)))

а почему собствено напоминает? - все эти "вкатыватели" которым нужен "чисто совет по-братски" и есть гопота.

Атаки через 3рд-пати вообще не рассматриваются.

да какие уже там 3рд пати... эксплоит , вся суть которого отправка хттп реквеста, не могу под себя переделать или распаралелить - половина хацкеров.
ты им про аномалии, а они тебе про хабар - не чему учится не хотят - кина американского насмотрелись...

 

[tenac1ous]

Всем привет! Во время работы частенько оказываюсь в ситуациях,когда уж прям необходимо повысить локально свои привелегии, чтобы сдампить lsass, поставить закреп итд. Кому не лень, не могли бы оставить список актуальных эксплойтов для локального повышения привелегий на данный момент. Сплойты на подобии PrintNigtmare итд. Заранее спасибо всем =)

CVE-2023-21746 или же LocalPotato, атака LocalPotato - это тип атаки NTLM-отражения, которая направлена на локальную аутентификацию. Эта атака позволяет произвольное чтение/запись файлов и повышение привилегий.