[原创]【安全研究】使用PetitPotam代替Printerbug-安全资讯-看雪-安全社区|安全招聘|kanxue.com

[原创]【安全研究】使用PetitPotam代替Printerbug

发表于: 2021-9-6 14:48 3909

[原创]【安全研究】使用PetitPotam代替Printerbug

中安网星

2021-9-6 14:48

3909

0x00 前言

Printerbug使得拥有控制域用户/计算机的攻击者可以指定域内的一台服务器，并使其对攻击者选择的目标进行身份验证。虽然不是一个微软承认的漏洞，但是跟Net-ntlmV1,非约束委派，NTLM_Relay,命名管道模拟这些手法的结合可以用来域内提权，本地提权，跨域等等利用。

遗憾的是，在PrintNightmare爆发之后，很多企业会选择关闭spoolss服务，使得Printerbug失效。在Printerbug逐渐失效的今天，PetitPotam来了，他也可以指定域内的一台服务器，并使其对攻击者选择的目标进行身份验证。而且在低版本(16以下)的情况底下，可以匿名触发。

0x01 原理

MS-EFSR里面有个函数EfsRpcOpenFileRaw(Opnum 0)

他的作用是打开服务器上的加密对象以进行备份或还原，服务器上的加密对象由FileName 参数指定,FileName的类型是UncPath。

当指定格式为\\IP\C$的时候，lsass.exe服务就会去访问\\IP\pipe\srvsr

指定域内的一台服务器，并使其对攻击者选择的目标(通过修改FileName里面的IP参数)进行身份验证。

0x02 细节

1、通过lsarpc 触发

在官方文档(https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-efsr/403c7ae0-1a3a-4e96-8efc-54e79a2cc451)里面，MS-EFSR的调用有\pipe\lsarpc和\pipe\efsrpc两种方法，其中

\pipe\lsarpc的服务器接口必须是UUID [c681d488-d850-11d0-8c52-00c04fd90f7e]

\pipe\efsrpc的服务器接口必须是UUID [df1941c5-fe89-4e79-bf10-463657acf44d]

在我本地测试发现\pipe\efsrpc并未对外开放

在PetitPotam的Poc里面有一句注释possible aussi via efsrpc (en changeant d'UUID) mais ce named pipe est moins universel et plus rare que lsarpc ;)，翻译过来就是

也可以通过EFSRPC（通过更改UUID），但这种命名管道的通用性不如lsarpc，而且比LSARPC更罕见

所以PetitPotam直接是采用lsarpc的方式触发。

2、低版本可以匿名触发

在08和12的环境，默认在网络安全:可匿名访问的命名管道中有三个netlogon、samr、lsarpc。因此在这个环境下是可以匿名触发的

遗憾的是在16以上这个默认就是空了，需要至少一个域内凭据。

0x03 利用

这篇文章的主题是使用PetitPotam代替Printerbug，因此这个利用同时也是Printerbug的利用。这里顺便梳理复习下Printerbug的利用。

1、结合 CVE-2019-1040，NTLM_Relay到LDAP

详情见CVE-2019-1040

(https://daiker.gitbook.io/windows-protocol/ntlm-pian/7#5-cve-2019-1040),这里我们可以将触发源从Printerbug换成PetitPotam

2、Relay到HTTP

不同于LDAP是协商签名的，发起的协议如果是smb就需要修改Flag位，到HTTP的NTLM认证是不签名的。前段时间比较火的ADCS刚好是http接口，又接受ntlm认证，我们可以利用PetitPotam把域控机器用户relay到ADCS里面申请一个域控证书，再用这个证书进行kerberos认证。注意这里如果是域控要指定模板为DomainController