六十二：权限提升-烂土豆&DLL劫持&引号路径&服务权限

RottenPotato(烂土豆)提权的原理可以简述如下：
1.欺骗"NT AUTHORITY\SYSTEM"账户通过NTLM认证到我们控制的TCP终端
2.对这个认证过程使用中间人攻击（NTLM重放），为"NT AUTHORITY\SYSTEM"账户本地协商一个安全令牌。这个过程是通过一系列的windows API调
用实现的
3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务器账户（IIS,MSSQL）有这个权限，大多数用户级
的账户没有这个权限。
所以，一般从web拿到的webshell都是IIS服务器权限，是具有这个模仿权限的。测试过程中，发现使用已经创建好的账户（就是用户级账户）去反弹meterpreter然后再去执行EXP的时候会失败，但是使用菜刀(iis服务器权限)反弹meterpreter就会成功
烂土豆比热土豆的优点是：
1.100%可靠
2.全版本通杀（当时）
3.立即生效，不会像hot potato那样有时候需要等windows更新才能使用
总之，我对这个的理解是通过中间人攻击，将COM（NT\SYSTEM权限）在第二部挑战应答过程中认证的区块改为自己的区块获取SYSTEM令牌，然后MSF模仿令牌。

令牌窃取配合烂土豆提权

单纯令牌窃取：WEB权限或者本地权限
如配合烂土豆提权：WEB或者数据库等权限

不带引号服务路径安全问题

服务路径提权：WEB权限或者本地提权

不安全的服务权限配置问题

服务权限配置：WEB权限或者本地权限（WEB几率小）

Win2012z烂土豆配合令牌窃取提权-Web权限
Win2012-不安全的服务权限配合MSF-Web，本地权限
Win2012-不带引号服务路径配合MSF-Web,本地权限
关于Windows相关知识点总结说明-权限层,系统层,防护层等

案例1:win2012-烂土豆配合令牌窃取提权-web权限

原理:参考上述图片内容，非服务类用户权限无法窃取成功(原理)
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功

低权限提权高权限

upload/root/potato.exe C: \Users \ Publiccd C: \ (Users \ \ Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate token "NT AUTHORITY\ \SYSTEM"

针对环境，web或者本地。

内网横向移动需要本地权限-普通用户提权至管理员

相关文件及后门免杀问题