<\/p>\n
Ce n’est pas nouveau mais \u00e7a revient \u00e0 l’actualit\u00e9. L’escalade de privil\u00e8ge permet d’acqu\u00e9rir les droits\u00a0NT AUTHORITY\\SYSTEM au sein d’un syst\u00e8me Windows, sans pour autant disposer d’un moyen l\u00e9gitime d’y acc\u00e9der.<\/p>\n
De tels droits sont\u00a0extr\u00eamement\u00a0convoit\u00e9s par les intrus\/pirates\/pentesteurs d’un syst\u00e8me pour \u00e9tendre leur contr\u00f4le et notamment placer des backdoors\/rootkits en profondeur.<\/p>\n
Dans le cas pr\u00e9sent, c’est une technique tr\u00e8s simple qui exploite les t\u00e2ches planifi\u00e9es sous Windows XP. Windows XP uniquement puisque sous les versions plus r\u00e9centes, l’attribut\u00a0d\u2019interactivit\u00e9\u00a0n’est plus fonctionnel. Sous Windows Vista et 7 il est d’ailleurs conseill\u00e9 d’utiliser “schtasks” plut\u00f4t que “at”.<\/p>\n
Attention toutefois, la commande “at” n\u00e9cessite un minimum de droits. Elle ne peut pas \u00eatre ex\u00e9cut\u00e9e par un compte “invit\u00e9” par exemple. Il faudra donc passer par une premi\u00e8re escalade de privil\u00e8ge de l’utilisateur invit\u00e9 (LPEception…).<\/p>\n
La commande de base pour ex\u00e9cuter un processus en\u00a0NT AUTHORITY\\SYSTEM avec\u00a0interactivit\u00e9\u00a0(visibilit\u00e9 \u00e0 l’\u00e9cran) est la suivante :<\/p>\n
[shell]at hh:mm \/interactive &quot;cmd.exe&quot;[\/shell]<\/p>\n
Il est bien \u00e9vident que l’heure indiqu\u00e9e est future, par exemple 2 minutes plus tard. Il suffit par la suite de patienter 2 minutes pour voir un jolie shell appara\u00eetre sous l’utilisateur\u00a0NT AUTHORITY\\SYSTEM, donc avec les droits absolus. N’importe quel autre processus peut \u00eatre lanc\u00e9. Il est m\u00eame possible de lancer une session sous l’utilisateur\u00a0NT AUTHORITY\\SYSTEM ! Pour cela, une fois votre shell obtenu les 2 minutes \u00e9coul\u00e9es, terminez le processus “explorer.exe” via le gestionnaire de t\u00e2ches, et relancez le \u00e0 partir de votre console. La session s’ouvre sous le compte “supr\u00eame” ! A noter que le fait d’ouvrir une telle session ne serait-ce qu’une fois, peut g\u00e9n\u00e9rer un l\u00e9ger probl\u00e8me d’affichage au d\u00e9marrage de la machine, o\u00f9 les collines verdoyantes de Windows apparaissent en fond d’\u00e9cran bien que ce ne soit pas le v\u00f4tre…<\/p>\n
Pour automatiser un peu ce LPE (comprendre Local Privilege Escalation<\/em>), voici un petit script Batch (lpe.bat) \u00e0 ex\u00e9cuter. Celui-ci sauvegarde l’heure courante, ajoute la t\u00e2che planifi\u00e9e \u00e0 ex\u00e9cuter sous le compte SYSTEM, attend l’ex\u00e9cution de la t\u00e2che via un retardement de 2 secondes (r\u00e9alis\u00e9 \u00e0 partir de la commande “ping”) et remet l’heure initiale :<\/p>\n [shell]set tmptime=%TIME%<br \/> Ce LPE provient du fait que le d\u00e9mon Windows (svchost.exe) qui v\u00e9rifie r\u00e9guli\u00e8rement si des t\u00e2ches sont \u00e0 ex\u00e9cuter a les droits SYSTEM. Ainsi, bien que vous soyez un utilisateur restreint, l’ajout d’une t\u00e2che planifi\u00e9e force ce d\u00e9mon SYSTEM \u00e0 ex\u00e9cuter votre processus, qui h\u00e9rite automatiquement des privil\u00e8ges de son cr\u00e9ateur, soit des droits\u00a0NT AUTHORITY\\SYSTEM.<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Ce n’est pas nouveau mais \u00e7a revient \u00e0 l’actualit\u00e9. L’escalade de privil\u00e8ge permet d’acqu\u00e9rir les droits\u00a0NT AUTHORITY\\SYSTEM au sein d’un […]<\/p>\n","protected":false},"author":1337,"featured_media":1159,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[165,14,167],"tags":[28,33,27,31,36,34,32,30,35],"class_list":["post-109","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-os","category-vuln-exploit-poc","category-windows","tag-at","tag-cmd-exe","tag-lpe","tag-nt-authority","tag-planified-task","tag-shell","tag-system","tag-taches-planifiees","tag-windows-xp"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=109"}],"version-history":[{"count":13,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/109\/revisions"}],"predecessor-version":[{"id":1632,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/109\/revisions\/1632"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1159"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\ntime 13:37:59,44<br \/>
\nat 13:38 \/interactive &quot;cmd.exe&quot;<br \/>
\nping 127.0.0.1 -n 2<br \/>
\ntime %tmptime%[\/shell]<\/p>\n