Elevación de privilegios en Windows Vista.

Buenas tardes.

El viernes a última hora en el trabajo me dio por probar el NewSid 4.10 en Windows Vista, sabía que no funcionaba pero unos compañeros me aseguraban que sí que iba, incluso me lo demostraron tras detectar que teníamos 3 máquinas con el mismo SID en Windows Vista y pasar el programa, pues bueno me decidí a hacer un “proof of concept” del Newsid en mi PC (“Tonto de mí por no hacerlo en un entorno de test, pero bueno”). A lo que vamos lo probé de 2 maneras:

1.- Sin quitar el pc del dominio (No tenía sentido ya que el SID de la máquina para lo único que importa realmente es para diferenciar un equipo de otro en un dominio (Mas o menos ya me entendéis) Pero las cosas hay que probarlas ya que muchas veces nos sorprenden y detectamos un nuevo bug o un nuevo método para saltarnos las protecciones. XD.

Podía seguir con el programa, nombre de máquina, reiniciar tras realización…. (Otia, funciona…), pero después de un buen rato esperando a que finalizara el proceso y ver que eso no tenía futuro 15 minutos esperando, paré el programa y quité el pc del dominio tras comprobar que el usuario local que hacía tiempo que no usaba tenía la contraseña que yo quería y que era administrador del sistema) (1 punto para mí).

2.- Quité el pc del dominio:

En efecto no funciona, ya que da un error al principio del programa y no puedes seguir de ninguna manera. Estaba en lo cierto ( 2 puntos para mí).

Tras afirmar que Windows Vista no funciona con NewSid reinicié el ordenador para poder volver a introducir el pc en el dominio.

Cual fue mi sorpresa cuando entro en la sesión de mi administrador local, voy a introducir el equipo en dominio y no me deja ya que dice que este usuario no es administrador local. Bueno ningún problema tengo otro usuario administrador local, lo pruebo y lo mismo (Lo que sucedía es que todos los administradores locales habían perdido sus credenciales con lo que no podía incluir mi equipo en el dominio por falta de privilegios).

Bueno llega el fin de semana y con él el tiempo libre para dedicar-me a Hackear mi propio PC, con lo que me llevo el ordenador a mi casa para traerlo el lunes hackeado (O eso esperaba, soy muy cabezón y hasta que no encuentro la solución a un problema no paro (Siempre que tenga tiempo disponible claro).

Cuando llego a casa cojo mi querido NT Password Recovery que recordaba que podía llegar a hacer una asignación al grupo “Administradores” de un usuario seleccionado aunque en fase Beta pero por probar que no quede. Y …. no lo consigo. Mierda. Busqué que claves del registro modificar para poder dar permisos de administrador local ya que suponía que si el Newsid ha conseguido eliminar los permisos de administrador únicamente modificando claves del registro yo podría hacer un rollback y listo pero no conseguí encontrar nada. Bueno sí: lo único que encontré fue información sobre como en Windows Vista habilitar el usuario Administrador (Oculto) mediante el comando net user Administrador /active:yes pero claro eso lo has de hacer también con un usuario con privilegios de administrador.

Me decidí a googlear  y aprendí mucho como siempre gracias a toda la gente que como yo publicamos artículos de interés para las demás personas. Una de las cosas que más me sorprendieron fue como darme permisos sobre cadenas del registro en modo SYSTEM a través de una utilidad de la misma Microsoft, aquí os dejo el enlace: http://www.microsoft.com/downloads/details.aspx?FamilyId=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en), esto ya lo podía hacer desde NT Password Recovery pero con esta utilidad era mucho más fácil, únicamente le das permisos a tu usuario sobre la cadena del registro que te apetezca y después con regedit la modificas. Podéis encontrar más información sobre esto en:

http://www.tech-archive.net/Archive/WinXP/microsoft.public.windowsxp.general/2007-03/msg04940.html

y

http://arangeltx.blogspot.com/2008/01/ltima-experiencia-regedit-claves-en-en.html

Como no sabía que cadenas del registro debía tocar lo descarté bastante rápido y seguí buscando hasta dar con la solución a mi problema.

Os hago un breve resumen (No lo realicéis sin la supervisión de un hacker adulto).

Desde una línea de comandos con acceso NTFS como puede ser Hiren’s con su aplicación Volkov Manager o mediante entorno gráfico con Bart’s PE y su aplicación A4FileManager… debéis renombrar el fichero utilman.exe y el cmd.exe como muestro a continuación:

ren utilman.exe utilman._exe
copy cmd.exe utilman.exe

Con estos pasos hacemos que el comando cmd.exe siga funcionando y que el comando utilman.exe ejecute una línea de comandos con privilegios de administrador ya que esta aplicación es ejecutada con el usuario SYSTEM por defecto en la pantalla de inicio de sesión de Windows para poder ejecutar la aplicación de accesibilidad.

Cuando tengáis los ficheros renombrados reiniciad el ordenador y en la pantalla de logon donde os solicita el usuario y la contraseña para poder acceder a vuestra sesión debéis marcar el símbolo de abajo-izquierda de accesibilidad (Antes utilman.exe y que ahora es una línea de comandos con privilegios de administrador) Todo lo que se ejecute desde esta línea de comandos será con privilegios de administrador. Pues bien ejecutamos compmgmt.msc para poder abrir la consola de administración de usuarios y creamos un usuario local, lo incluimos en el grupo administradores y listo, ya podemos entrar con un usuario creado por nosotros sin tener permisos de administrador local ni nada por el estilo de una forma bien sencilla.

Este “Human-Exploit” lo encontré en: http://foro.elhacker.net/hacking_avanzado/escalada_de_privilegios_en_windows_vista-t158467.0.html moltes gràcies per la ajuda.

Lo que todavía no entiendo es como coño le cambiaron el SID a un Windows Vista sin hacer un sysprep. Espero que me lo cuenten y ya os lo explicaré.

Saludos Megacracks.

PD: Este procedimiento también es útil para Windows XP.