SeBackup
Le privilège SeBackup donne droit à l'utilisateur d'effectuer des sauvegardes. Le principe pour exploiter ce privilège est donc d'effectuer des sauvegardes du registre/de fichiers sensibles/etc afin d'obtenir les informations voulues.
Si le privilège est "disabled"¶
https://github.com/giuliano108/SeBackupPrivilege
Ce qui permettra d'activer le privilège.
Sauvegarde du registre¶
Une sauvegarde du registre va permettre de récupérer les hash présents dans la SAM.
Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash:
Sauvegarde du fichier NTDS.dit¶
Plusieurs méthodes sont possibles selon le contexte.
Diskshadow¶
Création d'un script "backup.txt" pour diskshadow:
set verbose on
set metadata C:\Windows\Temp\meta.cab
set context clientaccessible
set context persistent
begin backup
add volume C: alias cdrive
create
expose %cdrive% E:
end backup
Puis l'exécuter¶
Robocopy¶
Ceci va créer une réplique de C: sur le lecteur E: => les fichiers de E: sont ensuite copiables.¶
Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash¶
Wbadmin¶
Wbadmin permet de créer un backup¶
On récupère ensuite la version du backup¶
Puis on la restore à un endroit accessible¶
webadmin start recovery -quiet -version:07/26/2021-03:16 -itemtype:file -item:c:\windows\ntds\ntds.dit -recoverytarget:c:\temp -notrestoreacl