PetitPotato
Categoría y Tipo de Herramienta
PetitPotato es una herramienta de escalada de privilegios local (LPE) que funciona bajo el paradigma de "NTLM Relay". Es una evolución dentro de la familia de exploits "Potato" (como RottenPotato o JuicyPotato), diseñada para coaccionar la autenticación del sistema.
Propósito Principal y Casos de Uso
Su propósito es permitir que un atacante que ha comprometido una cuenta de servicio (como las utilizadas por IIS o SQL Server) eleve sus privilegios a NT AUTHORITY\SYSTEM. Es crucial en escenarios donde el atacante posee el privilegio SeImpersonatePrivilege, pero las técnicas tradicionales fallan debido a parches de seguridad o configuraciones específicas del sistema operativo. PetitPotato se utiliza frecuentemente en pruebas de penetración internas y ejercicios de Capture The Flag (CTF) donde se requiere movimiento lateral vertical.
Arquitectura y Modo de Funcionamiento
La herramienta explota el protocolo MS-EFRPC (Encrypting File System Remote Protocol). El funcionamiento técnico se basa en forzar al host local a autenticarse contra un "listener" controlado por el atacante mediante una llamada RPC a la interfaz EFS. PetitPotato inicia un servidor de Named Pipe malicioso y, acto seguido, invoca el método EfsRpcOpenFileRaw de la API de EFS, indicándole que conecte al pipe del atacante. Esto provoca que el servicio LSASS inicie un handshake NTLM. La herramienta captura esta autenticación y la retransmite (relay) localmente al Service Control Manager u otro proceso privilegiado para obtener un token de acceso de SYSTEM.
Protocolos y Tecnologías
Protocolos: RPC (Remote Procedure Call), MS-EFRPC, NTLM (New Technology LAN Manager).
Mecanismos: Named Pipes, Impersonación de Tokens.
Requisitos Técnicos
Sistema Operativo: Windows Server 2016, 2019 y versiones recientes de Windows 10/11.
Privilegios: Requiere obligatoriamente que la cuenta comprometida tenga habilitado
SeImpersonatePrivilegeoSeAssignPrimaryTokenPrivilege.
Ver máquinas: Relevant (THM)