{"id":874,"date":"2021-05-13T22:22:00","date_gmt":"2021-05-13T20:22:00","guid":{"rendered":"https:\/\/pentester.blog\/?p=874"},"modified":"2021-05-16T17:38:06","modified_gmt":"2021-05-16T15:38:06","slug":"lotus-notes-from-crash-to-cash","status":"publish","type":"post","link":"https:\/\/hacktarus.fr\/?p=874","title":{"rendered":"Lotus Notes, from crash to cash"},"content":{"rendered":"\n
Pour tout un chacun, une application qui crash est un moment d’\u00e9nervement, cela arrive sans pr\u00e9venir et malheureusement souvent au pire moment.<\/p>\n\n\n\n
Mais pour un pentester une application qui crash peut \u00eatre l’opportunit\u00e9 d’une \u00e9l\u00e9vation de privil\u00e8ges.<\/p>\n\n\n\n
Il n’y a pas longtemps mon client Lotus Notes a crash\u00e9 et comme j’avais l’explorateur de fichiers ouvert, j’ai not\u00e9 la cr\u00e9ation d’un r\u00e9pertoire IBM_TECHNICAL_SUPPORT<\/code> avec des fichiers de debug dedans.<\/p>\n\n\n\n
Ce qui est int\u00e9ressant c’est que ce r\u00e9pertoire est cr\u00e9\u00e9 dans le profil utilisateur, parfaitement accessible en lecture et modification :<\/p>\n\n\n\n<\/figure>\n\n\n\n
<\/p>\n\n\n\n
Pour savoir si ce crash en vaut la peine, il faut d\u00e9terminer le nom du processus responsable de l’\u00e9criture de ce r\u00e9pertoire IBM_TECHNICAL_SUPPORT<\/code>.<\/p>\n\n\n\n
En faisant divers tests et en observant les processus au travers de Procmon, on s’aper\u00e7oit rapidement que c’est le service nsd.exe<\/strong> qui en est responsable :<\/p>\n\n\n\n<\/figure>\n\n\n\n
<\/p>\n\n\n\n
Et devinez sous quel compte tourne ce service ? <\/p>\n\n\n\n
Sous le compte Local System !<\/p>\n\n\n\n<\/figure>\n\n\n\n
<\/p>\n\n\n\n
En r\u00e9sum\u00e9 nous avons un service qui tourne sous Local System \u00e9crivant des fichiers dans un r\u00e9pertoire accessible par l’utilisateur en lecture\/\u00e9criture.<\/p>\n\n\n\n
Nous avons donc une vuln\u00e9rabilit\u00e9 pouvant \u00e9ventuellement mener \u00e0 une \u00e9l\u00e9vation de privil\u00e8ge.<\/p>\n\n\n\n
V\u00e9rifions que le d\u00e9tournement de r\u00e9pertoire fonctionne.<\/p>\n\n\n\n
Il faut commencer par quitter le client Notes et supprimer le r\u00e9pertoire IBM_TECHNICAL_SUPPORT<\/code>.<\/p>\n\n\n\n
Ensuite nous pouvons cr\u00e9er un lien symbolique vers le r\u00e9pertoire syst\u00e8me C:\\Windows\\system32<\/code> dans lequel en tant que simple utilisateur nous ne pouvons pas \u00e9videmment pas \u00e9crire :<\/p>\n\n\n\n
Ensuite il suffit de lancer le client Notes et de le faire crasher comme ci-dessous :<\/p>\n\n\n\n<\/figure>\n\n\n\n
<\/p>\n\n\n\n
Et comme attendu, des fichiers de debug ont \u00e9t\u00e9 cr\u00e9\u00e9s dans le r\u00e9pertoire syst\u00e8me C:\\Windows\\System32 !<\/p>\n\n\n\n<\/figure>\n\n\n\n
<\/p>\n\n\n\n
Ce type de vuln\u00e9rabilit\u00e9 est assez courant et peut permettre une \u00e9l\u00e9vation de privil\u00e8ge \u00e0 condition de pouvoir contr\u00f4ler certains param\u00e8tres comme les noms des fichiers cibles et les permissions.<\/p>\n\n\n\n
Je ne suis pas all\u00e9 plus loin dans l’analyse et libre \u00e0 vous de creuser l’affaire, notamment avec la technique d’indirection RPC Control (exemple : https:\/\/decoder.cloud\/2020\/10\/27\/when-a-stupid-oplock-leads-you-to-system\/) et pourquoi pas d\u00e9nicher une nouvelle CVE et au passage un peu de cash \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"
![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image-3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image-4.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/05\/image-5.png\")
<\/figure>\n\n\n\n