WriteOwner (whoami /priv) - Windows Privilege Escalation

Observation : L'utilisateur Ryan possède l'autorisation WriteOwner sur le compte CA_SVC, qui est également l'émetteur du certificat. Cela signifie que nous pouvons modifier le propriétaire du compte CA_SVC pour y associer Ryan.

Prise de contrôle de CA_SVC avec BloodyAD

Changement du propriétaire du compte

La commande utilise BloodyAD pour modifier le propriétaire de CA_SVC et le définir sur Ryan. En tant que propriétaire, Ryan peut maintenant modifier les autorisations associées au compte.

Modification des permissions avec Dacledit

Accorder des permissions complètes à Ryan

Cette commande modifie la DACL (Discretionary Access Control List) du compte CA_SVC pour accorder un contrôle total à Ryan. Cela permet à Ryan de réinitialiser le mot de passe ou de manipuler les clés d'authentification.

Extraction des informations d'identification fantômes (Shadow Credentials)

Générer et récupérer l'empreinte NT hash

NT hash pour CA_SVC : 3b181b914e7a9d5508ea1e20bc2b7fce

La commande Certipy génère une clé d'identification pour CA_SVC, activant l'authentification basée sur un certificat. Un fichier .ccache est également généré, ce qui facilite des attaques basées sur Kerberos.

Modification du modèle de certificat

Ajuster le modèle DunderMifflinAuthentication

Cette commande modifie le modèle de certificat DunderMifflinAuthentication pour qu’il permette l’émission de certificats avec des privilèges élevés.

Émission d’un certificat pour l’administrateur

Demande d’un certificat pour impersonation

Cette commande demande un certificat au nom de l’Administrateur ([email protected]), permettant d’usurper l’identité de ce compte.

Authentification en tant qu’Administrateur

Utilisation du certificat pour s’authentifier

NTLMv2 Hash : 7a8d4e04986afa8ed4060f75e5a0b3ff