Windows 土豆家族提权漏洞分析与防御指南<\/h1>

概述<\/h2>
土豆家族(Tatoo Family)是一系列Windows提权漏洞的统称，这些漏洞利用Windows认证机制中的缺陷，通过NTLM中继、COM\/DCOM组件滥用等技术实现从低权限账户(如IIS用户、服务账户)到SYSTEM权限的提权。本文将对Hot Potato、Rotten Potato、Juicy Potato、Rogue Potato、PrintSpoofer、PrintNotifyPotato\/JuicyPotatoNG和GodPotato等漏洞进行详细分析。<\/p>

1. Hot Potato (热土豆)<\/h2>

1.1 漏洞原理<\/h3>

Hot Potato是最初的土豆提权漏洞，由@breenmachine在2016年披露，利用流程如下：<\/p>

NBNS欺骗<\/strong>：当DNS解析失败时，Windows会尝试NBNS解析主机名<\/li>
构造本地HTTP，响应WPAD<\/strong>：劫持WPAD后返回自定义PAC文件<\/li>
HTTP-SMB NTLM Relay<\/strong>：截获认证过程并转发<\/li>

等待高权限进程访问<\/strong>：利用Windows更新服务(wuauserv)的SYSTEM权限<\/li> <\/ol>
1.2 利用过程<\/h3>
NBNS欺骗<\/h4>

使用UDP端口耗尽技术使DNS解析失败<\/li>
暴力匹配NBNS查询包中的TXID字段(2字节)<\/li>
构造虚假数据包响应WPAD查询<\/li> <\/ul>
WPAD代理设置<\/h4>
返回的PAC文件示例：<\/p>
function<\/span> FindProxyForURL<\/span>(url<\/span>, host<\/span>) { <\/span><\/span> return<\/span> "PROXY attacker_ip:80"<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>NTLM中继攻击<\/h4> 当SYSTEM权限的wuauserv服务检查更新时<\/li> 流量被代理到攻击者机器<\/li> 截获NTLM认证并中继<\/li> <\/ul> 1.3 防御措施<\/h3> MS16-075补丁修复跨协议中继<\/li> CVE-2016-3213修复WPAD解析<\/li> CVE-2016-3236使请求PAC文件时不发送凭据<\/li> <\/ul> 2. Rotten Potato (烂土豆)<\/h2> 2.1 漏洞原理<\/h3> Rotten Potato同样由@breenmachine在2016年披露，优点是不需要等待触发，利用DCOM激活服务实现立即提权。<\/p> 关键知识<\/h4> AcceptSecurityContext<\/code> API处理NTLM服务端流程<\/li> DCOM远程连接时使用SYSTEM权限(如BITS服务)<\/li> LocalService默认具有SeImpersonate<\/code>和SeAssignPrimaryToken<\/code>权限<\/li> <\/ul> 2.2 利用过程<\/h3> CoGetInstanceFromIStorage调用<\/strong><\/p> 使用BITS服务的CLSID：{4991d34b-80a1-4291-83b6-3328366b9097}<\/code><\/li> 指定恶意代理地址激活COM对象<\/li> <\/ul> <\/li> DCOM发送NTLM协商包<\/strong><\/p> SYSTEM进程连接时发起NTLM_NEGOTIATE<\/li> <\/ul> <\/li> 代理转发与令牌模拟<\/strong><\/p> 调用AcceptSecurityContext<\/code>处理NTLM_NEGOTIATE<\/li> 将协商包发送到本地135端口获取NTLM_CHALLENGE<\/li> 替换CHALLENGE值并返回给DCOM<\/li> 使用ImpersonateSecurityContext<\/code>获取SYSTEM令牌<\/li> <\/ul> <\/li> <\/ol> 2.3 防御措施<\/h3> Windows 10 1809和Windows Server 2019后失效，因DCOM和OXID解析器补丁。<\/p> 3. Juicy Potato<\/h2> 3.1 改进点<\/h3> 在Rotten Potato基础上改进：<\/p> CLSID扩展<\/strong>：发现多个可滥用的COM服务器CLSID 需满足：可被当前用户实例化、实现IMarshal接口、以高权限运行<\/li> <\/ul> <\/li> 进程创建优化<\/strong>： SeImpersonate<\/code>权限时使用CreateProcessWithToken<\/code><\/li> SeAssignPrimaryToken<\/code>权限时使用CreateProcessAsUser<\/code><\/li> <\/ul> <\/li> <\/ol> 3.2 防御措施<\/h3> 同Rotten Potato，因微软修复OXID解析器相关漏洞。<\/p> 4. Rogue Potato<\/h2> 4.1 背景<\/h3> 针对Windows Server 2019和Win10 1809后版本，JuicyPotato失效后的改进方案。<\/p> 关键知识<\/h4> RPCSS服务<\/strong>：COM\/DCOM的服务控制管理器<\/li> OXID解析<\/strong>：客户端通过OXID查询获取DCOM服务器绑定信息<\/li> ResolveOxid2函数<\/strong>：解析OXID查询请求<\/li> <\/ul> 4.2 利用过程<\/h3> 触发COM服务连接远程135端口<\/strong><\/p> 指定远程OXID解析器IP<\/li> 使用CoGetInstanceFromIStorage<\/code>触发DCOM激活<\/li> <\/ul> <\/li> 伪造ResolveOxid2响应<\/strong><\/p> 远程135端口转发到恶意OXID解析服务<\/li> 返回篡改的绑定信息：ncacn_np:localhost\/pipe\/roguepotato[\pipe\epmapper]<\/code><\/li> <\/ul> <\/li> 身份模拟<\/strong><\/p> 创建命名管道\\.\pipe\roguepotato\pipe\epmapper<\/code><\/li> RPCSS连接后调用ImpersonateNamedPipeClient<\/code><\/li> <\/ul> <\/li> 令牌窃取<\/strong><\/p> 模拟RPCSS服务身份<\/li> 枚举进程句柄找到SYSTEM令牌<\/li> 使用CreateProcessAsUser<\/code>创建高权限进程<\/li> <\/ul> <\/li> <\/ol> 4.3 防御措施<\/h3> 目前仍然有效。<\/p> 5. PrintSpoofer (PipePotato\/BadPotato)<\/h2> 5.1 漏洞原理<\/h3> 利用spoolsv.exe<\/code>服务的RpcRemoteFindFirstPrinterChangeNotificationEx<\/code>函数，通过命名管道模拟获取SYSTEM令牌。<\/p> 关键技巧<\/h4> 传递\\127.0.0.1\/pipe\/foo<\/code>时路径标准化为\\127.0.0.1\pipe\foo\pipe\spoolss<\/code><\/li> 注册该命名管道窃取token<\/li> <\/ul> 5.2 防御措施<\/h3> 使用CreateFile<\/code>打开命名管道时添加SECURITY_IDENTIFICATION<\/code> flag，但目前无官方补丁。<\/p> 6. PrintNotifyPotato\/JuicyPotatoNG<\/h2> 6.1 改进点<\/h3> 使用PrintNotify<\/code>服务的CLSID(Impersonation level为impersonation)<\/li> 通过LogonUser<\/code>函数使用LogonNewCredentials<\/code>添加INTERACTIVE组<\/li> 本地利用需结合James Forshaw的DCOM认证中继技术<\/li> <\/ul> 7. GodPotato<\/h2> 7.1 利用过程<\/h3> 初始化与RPC接口定位<\/strong><\/p> 定位18f70770-8e64-11cf-9af1-0020af6e72f4<\/code>接口GUID<\/li> 解析_UseProtSeq<\/code>函数<\/li> <\/ul> <\/li> 关键函数挂钩<\/strong><\/p> 创建_UseProtSeq<\/code>代理函数<\/li> 修改RPC调度表函数指针<\/li> <\/ul> <\/li> RPC重定向<\/strong><\/p> 创建命名管道\\.\pipe\GodPotato\pipe\epmapper<\/code><\/li> 重定向RPC调用到命名管道<\/li> <\/ul> <\/li> 身份模拟与提权<\/strong><\/p> 调用ImpersonateNamedPipeClient<\/code><\/li> 获取SYSTEM令牌并创建进程<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 通用防御措施<\/strong>：<\/p> 禁用不必要的服务账户的SeImpersonate<\/code>和SeAssignPrimaryToken<\/code>权限<\/li> 启用SMB签名和LDAP签名<\/li> 限制命名管道访问权限<\/li> <\/ul> <\/li> 针对特定漏洞<\/strong>：<\/p> 安装最新安全补丁<\/li> 监控异常进程创建和令牌模拟行为<\/li> 限制DCOM和RPC通信<\/li> <\/ul> <\/li> 检测与响应<\/strong>：<\/p> 监控异常OXID解析请求<\/li> 检测异常的命名管道创建和连接<\/li> 分析可疑的NTLM认证流量<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 土豆家族漏洞展示了Windows认证和授权机制中的深层次问题，从最初的Hot Potato到最新的GodPotato，攻击技术不断演进以绕过微软的防御措施。理解这些漏洞的原理对于有效防御权限提升攻击至关重要。<\/p>

Windows 土豆家族提权漏洞分析与防御指南<\/h1>

1. Hot Potato (热土豆)<\/h2>

1.2 利用过程<\/h3>

2. Rotten Potato (烂土豆)<\/h2>

2.1 漏洞原理<\/h3>
Rotten Potato同样由@breenmachine在2016年披露，优点是不需要等待触发，利用DCOM激活服务实现立即提权。<\/p>

2.3 防御措施<\/h3>
Windows 10 1809和Windows Server 2019后失效，因DCOM和OXID解析器补丁。<\/p>

3. Juicy Potato<\/h2>

3.2 防御措施<\/h3>
同Rotten Potato，因微软修复OXID解析器相关漏洞。<\/p>

4. Rogue Potato<\/h2>

4.1 背景<\/h3>
针对Windows Server 2019和Win10 1809后版本，JuicyPotato失效后的改进方案。<\/p>

4.3 防御措施<\/h3>
目前仍然有效。<\/p>

5. PrintSpoofer (PipePotato\/BadPotato)<\/h2>

5.1 漏洞原理<\/h3>
利用`spoolsv.exe<\/code>服务的RpcRemoteFindFirstPrinterChangeNotificationEx<\/code>函数，通过命名管道模拟获取SYSTEM令牌。<\/p>`

5.2 防御措施<\/h3>
使用`CreateFile<\/code>打开命名管道时添加SECURITY_IDENTIFICATION<\/code> flag，但目前无官方补丁。<\/p>`

7. GodPotato<\/h2>

总结<\/h2>
土豆家族漏洞展示了Windows认证和授权机制中的深层次问题，从最初的Hot Potato到最新的GodPotato，攻击技术不断演进以绕过微软的防御措施。理解这些漏洞的原理对于有效防御权限提升攻击至关重要。<\/p>