topotam/PetitPotam

# PetitPotam PoC 工具，用于通过 MS-EFSRPC EfsRpcOpenFileRaw 或其他函数强制 Windows 主机向其他机器进行认证 :) 该工具使用 LSARPC 命名管道和接口 c681d488-d850-11d0-8c52-00c04fd90f7e，因为它更为普遍。但也可以通过 EFSRPC 命名管道和接口 df1941c5-fe89-4e79-bf10-463657acf44d 进行触发。针对域控制器不需要凭据 :D 禁用 EFS 服务似乎无法缓解此“功能” Python 版本需要安装 Impacket，Windows PoC 是在 VS 2019 Community 上完成的。 如果遇到编译问题，请记住在链接器中添加 Rpcrt4.lib。使用 x86 架构编译。 灵感来自 @tifkin_ 和 @elad_shamir 以及其他 SpecterOps 成员关于 MS-RPRN 的先前工作。 Microsoft 的补丁不完整 :) MS-EFSRPC - 加密文件系统远程 (EFSRPC) 协议 

标签：Active Directory, Conpot, CTF学习, CVE-2021-36942, EFSRPC, Impacket, LSARPC, Modbus, MS-EFSRPC, PetitPotam, PE 加载器, Plaso, PoC工具, UML, Windows安全, 内网渗透, 协议走私, 域控制器, 客户端加密, 客户端加密, 横向移动, 编程规范, 身份验证胁迫, 逆向工具