SeDebug
Le privilège SeDebugPrivilege autorise le debug de n'importe quel processus, y compris LSASS. C'est l'outil de choix pour dumper les hashs NTLM et tickets Kerberos en mémoire (via procdump puis Mimikatz, ou directement comobjects), ou pour injecter du code dans un processus SYSTEM existant.
Faire un dump du process Lsass.exe via procdump (dans le cas d'une connexion RDP il est aussi possible d'effectuer le dump du process depuis le gestionnaire des tâches)¶
On lance ensuite mimiktaz afin de récupérer les hashs NTLM présents dans le dump de Lsass.exe¶
SeDebugPrivilege : RCE en tant qu'utilisateur SYSTEM¶
On récupère le PID d'un process lancé avec l'utilisateur SYSTEM (winlogon.exe est un bon candidat)¶
Ensuite, on télécharge le script "psgetsys.ps1" et on l'exécute, ce qui permettra de lancer une commande de notre choix en tant qu'utilisateur SYSTEM (un reverse shell, cmd.exe, powershell.exe...): https://raw.githubusercontent.com/decoder-it/psgetsystem/master/psgetsys.ps1