經(jīng)我司安全部門研究分析，近期利用NTLM重放機(jī)制入侵Windows 系統(tǒng)事件增多，入侵者主要通過Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡(luò)身份認(rèn)證過程，利用NTLM重放機(jī)制騙取SYSTEM身份令牌，最終取得系統(tǒng)權(quán)限，該安全風(fēng)險微軟并不認(rèn)為存在漏洞，所以不會進(jìn)行修復(fù)，為了您的服務(wù)器安全，我們建議您進(jìn)行一下安全調(diào)整：

1、關(guān)閉DCOM功能

下面列出關(guān)閉DCOM步驟win2008/2012/2016/2019均適用

打開 [code]控制面板[/code]->[code]管理工具[/code]->[code]組件服務(wù)[/code]

展開 [code]組件服務(wù)[/code]-[code]計算機(jī)[/code] ，右擊 [code]我的電腦[/code] 選擇 [code]屬性[/code]

點(diǎn)擊 [code]默認(rèn)屬性[/code]選項(xiàng)卡，取消勾選 “在此計算機(jī)上啟用分布式COM”的，再確定即可

建議使用windows的都關(guān)閉此項(xiàng)以減小被入侵風(fēng)險。
您也可以直接在命令行執(zhí)行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 進(jìn)行關(guān)閉。

2、如果在使用iis，建議刪除IIS中的IIS6管理兼容

服務(wù)器管理-[code]角色服務(wù)[/code]管理-[code]刪除角色和功能[/code]

如上圖所示就可以了

提權(quán)案例

提權(quán)案例： https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 請務(wù)必重視做好安全設(shè)置

Potato – 本地特權(quán)提升工具

這是又一個本地特權(quán)提升工具，從Windows服務(wù)帳戶到NT AUTHORITY\SYSTEM ，如果用戶擁有SeImpersonate 或擁有SeAssignPrimaryToken 權(quán)限，那么你就可以獲取到SYSTEM。

Potato首先是想辦法使自己成為一個中間人，再找到一種觸發(fā)Windows更新機(jī)制的方法，或者干脆等待Windows定時檢查更新。檢查更新時實(shí)際上是系統(tǒng)的更新服務(wù)作為具有高權(quán)限的客戶端，發(fā)出http請求，Potato中間人在響應(yīng)中重定向并要求客戶端進(jìn)行認(rèn)證，利用高權(quán)限的客戶端向本地假http服務(wù)的認(rèn)證過程，將認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)給系統(tǒng)的RPC服務(wù)，迫使系統(tǒng)RPC服務(wù)認(rèn)為Potato中間人是個具有高權(quán)限的客戶，從而完成提權(quán)！

簡單分析下Potato的缺點(diǎn)：

在Windows 7下，Potato利用Windows Defender的更新機(jī)制可以做到立即。而在其他環(huán)境下，Potato在提權(quán)時第一階段會使用NBNS Spoofer技術(shù)，會快速發(fā)送大量的數(shù)據(jù)包，測試來看還是比較消耗CPU的，而且要等待較長時間。目前還未測試在該過程中是否會影響到主機(jī)訪問網(wǎng)絡(luò)，畢竟部分網(wǎng)絡(luò)數(shù)據(jù)被發(fā)往127.0.0.1:80。

Potato的具體代碼實(shí)現(xiàn)就不多說了，可以轉(zhuǎn)換成其他語言編寫，從而不依賴.NET，使其適用范圍更大。