Tutorials

Potato attack

Potato Attack su Windows ---

#exploitation#post-exploitation#windows#privesc

Potato Attack su Windows

Cos'è il Potato Attack?

Il "Potato Attack" è un termine generico utilizzato per indicare una serie di tecniche di privilege escalation su sistemi Windows che sfruttano vulnerabilità legate alla gestione dei token e dei permessi nei servizi di sistema. Queste tecniche consentono ad un utente con privilegi limitati di ottenere un token SYSTEM, che poi può essere utilizzato per eseguire comandi con i massimi privilegi.

Tra le varianti più note ci sono:

  • JuicyPotato
  • RoguePotato
  • PrintSpoofer (successore e alternativa su versioni più recenti)

Prerequisiti

  • Accesso alla macchina con privilegi di utente locale (non admin)
  • Possesso di un privilegio SeImpersonatePrivilege (tipico in scenari con servizio o exploit via Meterpreter)
  • Una shell o sessione Meterpreter con i privilegi menzionati

Puoi verificarlo con:

bash
whoami /priv

Come funziona il Potato Attack (concetto base)

L'attacco sfrutta il fatto che alcuni servizi di Windows (come BITS, DCOM o il Print Spooler) comunicano con il sistema usando token SYSTEM. Se l'attaccante riesce a far eseguire un'azione da uno di questi servizi e ad intercettare il token, può impersonare SYSTEM.

JuicyPotato

JuicyPotato è uno degli exploit più popolari per eseguire escalation da un utente con SeImpersonatePrivilege a SYSTEM sfruttando COM Service e Named Pipes.

#### Requisiti:

  • Windows 7, 8.1, 10 (build < 1809)
  • Architettura della macchina (x86/x64)

#### Utilizzo:

1. Scarica e carica JuicyPotato sulla macchina target 2. Crea un payload reverse shell (ad esempio con msfvenom)

Esempio:

bash
JuicyPotato.exe -l 1337 -p C:\windows\temp\rev.exe -t
  • -l indica la porta della named pipe
  • -p è il percorso del payload da eseguire come SYSTEM
  • -t forza l'uso di tutti i CLSID vulnerabili
In alternativa puoi specificare un CLSID noto funzionante con l'opzione -c.

RoguePotato

RoguePotato è una versione più recente e funziona su versioni Windows più moderne rispetto a JuicyPotato.

#### Requisiti:

  • Windows 10 1809+ e Server 2019+
  • SeImpersonatePrivilege attivo

#### Utilizzo:

1. Carica RoguePotato sulla macchina target 2. Esegui con il comando:

bash
RoguePotato.exe -r <attacker_ip> -e <cmd_exe_path>
  • -r: indirizzo IP dell'attaccante
  • -e: eseguibile da lanciare come SYSTEM (es. reverse shell o cmd)
Attenzione: RoguePotato crea una finta connessione LDAP per forzare la creazione del token SYSTEM.

PrintSpoofer

PrintSpoofer è un'altra tecnica compatibile con versioni più recenti di Windows, che sfrutta il servizio di stampa per ottenere token SYSTEM.

#### Requisiti:

  • SeImpersonatePrivilege
  • Servizio Print Spooler attivo

#### Utilizzo:

bash
PrintSpoofer.exe -i -c cmd.exe
  • -i: impersonate
  • -c: comando da eseguire con privilegi SYSTEM

Dopo il Potato Attack

Una volta ottenuta una shell come SYSTEM, è possibile:

  • Dumpare credenziali con Mimikatz
  • Creare un utente amministratore
  • Attaccare altri host sulla rete (lateral movement)

Considerazioni di Sicurezza

Questi attacchi non sfruttano vulnerabilità classiche di buffer overflow, ma problemi di design e configurazioni permissive. Sono spesso utilizzabili in scenari post-exploitation e pentest interni.

Mitigazioni possibili:

  • Rimozione del privilegio SeImpersonatePrivilege agli utenti non amministrativi
  • Disabilitazione del servizio Print Spooler
  • Applicazione delle patch Microsoft più recenti

Conclusione

Il Potato Attack è una tecnica potente per l'escalation dei privilegi in ambienti Windows, soprattutto in fase post-exploitation. Conoscere le varianti e i requisiti delle diverse implementazioni (Juicy, Rogue, PrintSpoofer) consente di scegliere la più adatta al contesto operativo.

È importante padroneggiare queste tecniche sia per chi fa offensive security, sia per i defender che devono implementare misure di mitigazione efficaci.