{"id":831,"date":"2021-04-01T07:29:37","date_gmt":"2021-04-01T05:29:37","guid":{"rendered":"https:\/\/pentester.blog\/?p=831"},"modified":"2021-05-13T20:10:30","modified_gmt":"2021-05-13T18:10:30","slug":"windows-de-simple-utilisateur-a-administrateur-en-1-click","status":"publish","type":"post","link":"https:\/\/hacktarus.fr\/?p=831","title":{"rendered":"[Windows] De simple utilisateur \u00e0 administrateur en 1 click !"},"content":{"rendered":"\n

Qui n’a jamais tent\u00e9 en vain d’\u00eatre administrateur local apr\u00e8s avoir essay\u00e9 de multiples techniques ?<\/p>\n\n\n\n

Vous allez voir qu’il est possible d’\u00e9crire dans les r\u00e9pertoires syst\u00e8me normalement r\u00e9serv\u00e9s aux administrateurs en 1 click !<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Mais comment ? <\/p>\n\n\n\n

Lancez une invite de commandes en tant que simple utilisateur et allez ensuite dans le gestionnaire de t\u00e2ches.<\/p>\n\n\n\n

Rep\u00e9rez le processus associ\u00e9 \u00e0 votre invite de commandes et activer la virtualisation du contr\u00f4le de compte utilisateur (par d\u00e9faut cette option est d\u00e9sactiv\u00e9e).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Et voila c’est tout ? Oui ! Vous pouvez maintenant \u00e9crire dans C:Windows\\System32 !<\/p>\n\n\n\n

La preuve, avec la commande pr\u00e9c\u00e9dente, echo Pwned > haha.txt, le fichier haha.txt est bien pr\u00e9sent dans C:\\Windows\\System32 :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Bon allons voir maintenant ce fichier au niveau de l’explorateur de fichiers :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Il n’y est pas, que se passe t-il ? <\/p>\n\n\n\n

Le fichier haha.txt n’est pas pr\u00e9sent dans l’explorateur de fichiers alors qu’on le voit bien dans l’invite de commandes, c’est bizarre \u00e7a !<\/p>\n\n\n\n

Mais alors je vous aurez menti ?<\/p>\n\n\n\n

En quelque sorte oui ! Avez-vous fait attention \u00e0 la date de ce post ? Il est du 1er avril 2021, poisson d’avril \ud83d\ude42<\/p>\n\n\n\n

N\u00e9anmoins o\u00f9 est ce fichier s’il n’est pas dans C:\\Windows\\System32 ?<\/p>\n\n\n\n

Et bien ce fichier se trouve dans un r\u00e9pertoire o\u00f9 vous avez le droit d’\u00e9crire (et oui ce n’est pas magique), dans AppData\\Local\\VirtualStore :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

C’est quoi ce tour de passe-passe ?<\/p>\n\n\n\n

Dans mon dernier post<\/a> je parlais d’une technique de bypass de l’UAC et bien l\u00e0 il s’agit de la virtualisation de l’UAC.<\/p>\n\n\n\n

Windows permet aux applications qui ne sont pas \u00e9crites pour UAC de s\u2019ex\u00e9cuter dans les comptes d\u2019utilisateur standard \u00e0 l\u2019aide de la virtualisation du syst\u00e8me de fichiers et de l\u2019espace de noms du registre. <\/p>\n\n\n\n

Lorsqu\u2019une application modifie un emplacement de syst\u00e8me global dans le syst\u00e8me de fichiers ou dans le registre, et que cette op\u00e9ration \u00e9choue parce que l\u2019acc\u00e8s lui est refus\u00e9, Windows redirige l\u2019op\u00e9ration vers une zone propre \u00e0 l\u2019utilisateur.<\/p>\n\n\n\n

Cette virtualisation de l’UAC s’appuie sur un mini filter driver, nomm\u00e9 luafv<\/strong>. Vous pouvez afficher la liste de ces mini filters drivers avec la commande fltmc<\/strong> (il faut \u00eatre admin local, vraiment cette fois, pour pouvoir lancer cette commande) :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Vous avez remarqu\u00e9 la colonne \u00ab\u00a0Altitude\u00a0\u00bb, \u00e0 quoi sert-elle ?<\/p>\n\n\n\n

Plus la valeur d’altitude est \u00e9lev\u00e9e, plus la priorit\u00e9 est \u00e9lev\u00e9e. Par exemple,
un filtre \u00e0 l’altitude 10000 sera appel\u00e9 avant un filtre \u00e0 l’altitude 5000.
<\/p>\n\n\n\n

Lors du traitement des r\u00e9ponses, les altitudes sont trait\u00e9es dans l’ordre inverse,
de sorte que le filtre \u00e0 5000 sera appel\u00e9 en premier, puis celui \u00e0 10000. <\/p>\n\n\n\n

Officiellement, les valeurs d’altitude doivent \u00eatre enregistr\u00e9es aupr\u00e8s de Microsoft (https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/ifs\/allocated-altitudes<\/a>).<\/p>\n\n\n\n

Voila, il y aurait pas mal d’autres choses \u00e0 dire sur ces mini filter drivers, notamment comment les exploiter en tant que pentester pour de l’\u00e9l\u00e9vation de privil\u00e8ges vers Local System.<\/p>\n\n\n\n

Si ce sujet vous int\u00e9resse je ne peux que vous conseillez la lecture de ce post :<\/p>\n\n\n\n

https:\/\/googleprojectzero.blogspot.com\/2021\/01\/hunting-for-bugs-in-windows-mini-filter.html<\/a><\/p>\n\n\n\n

Joyeuses P\u00e2ques !<\/p>\n","protected":false},"excerpt":{"rendered":"

Qui n’a jamais tent\u00e9 en vain d’\u00eatre administrateur local apr\u00e8s avoir essay\u00e9 de multiples techniques ? Vous allez voir qu’il est possible d’\u00e9crire dans les r\u00e9pertoires syst\u00e8me normalement r\u00e9serv\u00e9s aux administrateurs en 1 click ! Mais comment ? Lancez une invite de commandes en tant que simple utilisateur et allez ensuite dans le gestionnaire de … Continuer la lecture de [Windows] De simple utilisateur \u00e0 administrateur en 1 click !<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-831","post","type-post","status-publish","format-standard","hentry","category-pentest"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=831"}],"version-history":[{"count":31,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/831\/revisions"}],"predecessor-version":[{"id":870,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/831\/revisions\/870"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}