Cette technique remonte \u00e0 Windows XP, et s’av\u00e8re toujours fonctionnelle \u00e0 travers les \u00e2ges. Combien de fois, au cours d’un jeu vid\u00e9o par exemple, avez-vous \u00e9t\u00e9 d\u00e9concentr\u00e9 par “l’activation des touches r\u00e9manentes” ? En effet, lors de l’appui successif 5 fois sur la touche “Shift” de votre clavier, sous Windows, une fen\u00eatre\u00a0appara\u00eet\u00a0demandant l’activation de cette fonctionnalit\u00e9. Cette petite fen\u00eatre est g\u00e9n\u00e9r\u00e9e par le processus “sethc.exe” se trouvant dans “System32” de votre OS.<\/p>\n
La particularit\u00e9 de ce processus, est qu’il est ex\u00e9cutable d\u00e8s le “Winlogon”. Autrement dit, vous n’\u00eates pas oblig\u00e9 d’\u00eatre connect\u00e9 \u00e0 une session pour activer les touches r\u00e9manentes. Cela signifie que, puisqu’aucune session n’est ouverte au “Winlogon”, “sethc” s’ex\u00e9cute avec les droits “NT AUTHORITY\/SYSTEM”. Ce compte dispose de tous les droits sur le syst\u00e8me, comme la r\u00e9initialisation des mots de passes des comptes sans connaissance des pr\u00e9c\u00e9dents.<\/p>\n
Les combinaisons de touches suivantes permettent de lancer le processus “sethc.exe” d\u00e8s le “Winlogon” :<\/p>\n
- \n
- 5 fois la touche shift (droite ou gauche) pour les “touches r\u00e9manentes”.<\/li>\n
- 8 secondes sur le shift droit pour les “touches filtres” qui g\u00e8rent la fr\u00e9quence de r\u00e9p\u00e9tition du clavier.<\/li>\n
- 5 secondes sur la touche “verrnum” pour le\u00a0verrouillage\u00a0du pav\u00e9 num\u00e9rique afin d’activer les “touches\u00a0bascules”.<\/li>\n
- Alt (gauche) + Shift (gauche) + Impr \u00e9cran, pour activer le contraste \u00e9lev\u00e9<\/li>\n
- Alt (gauche) + Shift (gauche) + verrnum, pour activer les “touches souris” (utilisation du pav\u00e9 num\u00e9rique comme souris).<\/li>\n<\/ul>\n
Ainsi, l’objectif pour une telle escalade de privil\u00e8ge, est de remplacer le processus “C:\\Windows\\System32\\sethc.exe” original par la console Windows “cmd.exe” que l’on nommerait pareillement. Ceci ne peut \u00eatre fait qu’avant le d\u00e9marrage du syst\u00e8me, donc par l’interm\u00e9diaire d’un LiveCD Linux, ou d’un CD d’installation Windows (en mode r\u00e9paration pour acc\u00e9der au terminal).<\/p>\n
La technique des processus d’accessibilit\u00e9<\/strong><\/p>\n
Windows a tout pr\u00e9vu pour le maniement et l’acc\u00e8s \u00e0 son syst\u00e8me d’exploitation. Notamment pour les personnes en difficult\u00e9, celles-ci disposent d’outils am\u00e9liorant la visibilit\u00e9 \u00e0 l’\u00e9cran. Ces outils sont les processus d’ergonomie ou d’accessibilit\u00e9. Ils sont utilisables d\u00e8s \u00a0l’\u00e9cran de connexion (Winlogon) sous Windows 7 et 8.<\/p>\n
Pour les m\u00eames raisons que la technique via “sethc”, les outils d’accessibilit\u00e9 permettent une \u00e9l\u00e9vation des privil\u00e8ges et l’obtention d’un shell NT AUTHORITY\/SYSTEM puisqu’aucune session n’est encore ouverte au Winlogon.<\/p>\n
![\"Outils](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/accessibility_tools_windows8-300x225.png\" "\\"Outils")
<\/a>Outils d’accessibilit\u00e9 sous Windows 8<\/p><\/div>\n
![\"Outils](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/accessibility_tools_windows7-300x223.png\" "\\"Outils")
<\/a>Outils d’accessibilit\u00e9 sous Windows 7<\/p><\/div>\n
Il suffit de remplacer avant le d\u00e9marrage du syst\u00e8me, un des processus d’accessibilit\u00e9 par la console “cmd.exe” avec un nom similaire \u00e0 l’outil pour permettre une \u00e9l\u00e9vation de privil\u00e8ge.<\/p>\n
Ces processus d’accessibilit\u00e9 sont les suivants :<\/p>\n
- \n
- Magnify.exe : La loupe d’\u00e9cran (pour les mal-voyants)<\/li>\n
- Narrator.exe : Le lecteur vocale des textes de l’\u00e9cran (pour les mal-entendants)<\/li>\n
- osk.exe : On Screen Keyboard<\/em>, le clavier visuel, pour ceux qui souhaitent cliquer sur les touches.<\/li>\n
- Utilman.exe : Le gestionnaire des processus d’accessibilit\u00e9 en tant que tel<\/li>\n<\/ul>\n
Escalade de privil\u00e8ge et r\u00e9initialisation de mot de passe<\/strong><\/p>\n
Une fois “cmd.exe” renomm\u00e9 en l’un des processus d\u00e9taill\u00e9s ci-dessus (sethc, Magnify, osk, Narrator et\/ou utilman) avant le d\u00e9marrage du syst\u00e8me (donc via un LiveCD par exemple), il suffit de le lancer au Winlogon pour voir le shell apparaitre.<\/p>\n
![\"Escalade](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/Windows8_LPE_Magnify-300x225.png\" "\\"Escalade")
<\/a>Escalade de privil\u00e8ge avec Magnify sous Windows 8<\/p><\/div>\n
![\"Escalade](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/Windows8_LPE_sethc-300x223.png\" "\\"Escalade")
<\/a>Escalade de privil\u00e8ge avec sethc sous Windows 8<\/p><\/div>\n
![\"Escalade](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/Windows7_LPE_Magnify-300x224.png\" "\\"Escalade")
<\/a>Escalade de privil\u00e8ge avec Magnify sous Windows 7<\/p><\/div>\n
- Utilman.exe : Le gestionnaire des processus d’accessibilit\u00e9 en tant que tel<\/li>\n<\/ul>\n
![\"Outils](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/accessibility_tools_windows8.png\" "\\"Outils")
<\/a>