Privilegien-Eskalation: Windows-Admin dank Linux

Privilegien-Eskalation: Windows-Admin dank Linux

In diesem Tutorial zeige ich euch, wie man sich Administrator-Rechte an Windows PCs mittels Live-Boot CD sichern kann. Wir werden zwei Szenarien simulieren:

  1. aktivieren eines Admin Accounts
  2. hochstufen eines einfachen Benutzers in die Administratoren Gruppe

Das Ganze bewerkstelligen wir, indem wir den SAM Security_Accounts_Manager mittels eines Live-Linux Systems manipulieren.



Ausgangssituation

Auf einem Windows System sind die Benutzer User und sysadmin angelegt. User besitzt keine Administratoren-Rechte, ist mit einem Passwort geschützt und aktiviert. sysadmin hingegen ist Mitglied der lokalen Administratoren, ebenfalls mit einem Passwort geschützt aber deaktiviert.

Vorbereitung

Achtung!

Die Techniken und Methoden in diesem Artikel sind ausschließlich für Lernzwecke. Ein Missbrauch ist strafbar!1)

Ubuntu herunterladen

Prinzipiell kann man jede Live-Distribution nutzen. Ich habe mich für Lubuntu entschieden:

https://lubuntu.me/downloads/

Nach dem Download müsst Ihr die Image-Datei auf einen bootbaren USB Stick oder eine DVD portiertieren. Damit der Startvorgang fehlerfrei läuft solltet ihr im Bios folgende Einstellungen anpassen:

  • SafeBoot deaktivieren
  • Boot Reihenfolge auf das entsprechende Medium ändern

Nun startet ihr Lubuntu und konfiguriert noch folgendes:

  • Keyboard Layout auf Deutsch umstellen
  • Terminal öffnen
  • Paketquellen aktualisieren



chntpw installieren

Jetzt können wir chntpw installieren, mittels:

sudo apt install chntpw



Windows Partition finden

Wir suchen die Windows Partition.

sudo sfdisk -l



In unserem Beispiel finden wir sie auf /dev/sda3. Diese binden wir im nächsten Schritt ein.

Windows Partition einbinden

Wir brauchen einen Mountpoint für die Partition und erstellen diesen in unserem $HOME-Verzeichnis.

mkdir ~/win

Anschließend mounten wir die Partition.

sudo mount /dev/sda3 ~/win

Nun navigieren wir in das Verzeichnis, des SAM.

cd ~/win/Windows/System32/config



Manipulation des SAM

chntpw starten

Jetzt wird es Zeit unser eben installiertes Tool zu starten.

sudo chntpw -i SAM



SAM editieren



chntpw präsentiert sich, wie oben zu sehen ist. Wir wählen den Punkt 1 aus und sehen eine Übersicht der Benutzer.



Wir wollen nun den Benutzer sysadmin aktivieren und das Passwort zurücksetzen.

  • sysadmin Benutzer auswählen (03ea)

Im nächsten Dialog sehen wir eine Übersicht des Benutzers und können diesen nun bearbeiten.

  • Option 1 - Clear (blank) user password
  • Option 2 - Unlock and enable user account



Den ersten Benutzer haben wir geschafft. Wir quittieren mit q und wählen den nächsten Benutzer User aus.

  • User Benutzer auswählen (03eb)

Und nun setzen wir folgende Optionen:

  • Option 1 - Clear (blank) user password
  • Option 3 - Promote User

Wir kehren zurück in den Hauptdialog und beenden das Programm mit q. Die anschließende Abfrage, ob in den SAM geschrieben werden soll, bestätigen wir.

Lubuntu kann nun beendet und der Rechner heruntergefahren werden.

Rechner Neustarten

Um den Rechner nun zu starten, müssen folgende Dinge im BIOS gesetzt werden:

  • Boot Reihenfolge zurücksetzen
  • SafeBoot aktivieren



Ergebnis

Nach einem Neustart ist das Anmelden ohne Passwort für die Benutzer User und sysadmin möglich. Beide Konten sind Mitglieder von Administratoren und besitzen somit volle Berechtigungen.

sysadmin und User können sich ohne Passwort anmelden



Ein Blick in die PowerShell zeigt uns, dass unsere Änderungen erfolgreich waren.

sysadmin ist nicht mehr deaktiviert



User ist Mitglied der Administratoren Gruppe



Wie schütze ich mich?

Um diese Art der Manipulation zu verhindern, kann man folgende Maßnahmen ergreifen:

  • Erschweren des physischen Zugangs zur Maschine
  • UEFI Passwort
  • Laufwerksverschlüsselung z.B. BitLocker
  • Aufklärung und Gefahrenbewusstsein schaffen

Diskussion

pjok86, 2024/04/30 09:37
böses Linux :-)
Geben Sie Ihren Kommentar ein:
137 -13 =
 
it-security/blog/privilege_escalation_windows_admin_made_by_linux.txt · Zuletzt geändert: 2024/04/14 12:06
CC Attribution-Noncommercial-Share Alike 4.0 International