[DUDA] Escalar privilegios de usuario o averigüar/cambiar psw de AdminUser

Buenas tardes muchachos ¿Cómo están?

Esta vez vengo con una duda ya que después de horas y horas de busquedas e intentos no he podido dar con la solución. El caso es el siguiente:

- En mi trabajo la PC que estoy ocupando, obviamente, no tiene permisos de administrador y lo necesito para algunas cosas simples pero que no me dan bola desde "Sistemas" tales como instalar Visual Studio o MS Office x64 por ejemplo. El problema aquí es que los diversos métodos ya muy conocidos como Live CDs, Koonboot, Hiren's, cambiar el 'sethc' (u otros) por el 'cmd' y administrar desde cmd con el comando <net user>, etc., etc., no funcionan ya que el disco esta encriptado con Bitlocker ToGo, por lo tanto todos estos métodos o bien no reconocen el disco o piden el key para desbloquear el disco en cuestión y poder proseguir con los pasos necesarios.

Por lo tanto mi duda es, si aún así alguien conoce alguna alternativa para poder escalar permisos de mi usuario o bien averigüar o cambiar el password del usuario "Administrador".

Desde ya muchas gracias.
Saludos.

Suponiendo que el sistema operativo está actualizado y no tiene ninguna vulnerabilidad de escalación de privilegios se me ocurre que si puedes conseguir que se logueen aunque sea una vez como administrador puedas tener un keylogger o bien, lanzar Mimikatz.

Un saludo.

intenta con mimikatz como dice blackdrake
te dejo un tuto que hice como referencia:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2 MÉTODOS - Que yo eh usado:

1er Método: Descargar Invoke-BypassUAC => No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sacas el powershell de la maquina victima en caso de que lo tenga y debe tener instalado win7,8,10 (creo que acepta mas este script pero no lo eh probado en otros como winVISTA), y ejecutas: Import-Module .\Invoke-BypassUAC.ps1; Invoke-BypassUAC -Command 'net user backdoor "Password123" /add && net localgroup administrators backdoor /add"' -Verbose

# Se creara un usuario llamado backdoor con la contraseña Password123 con privilegios de administrador
# Desventajas de este método: Necesitas powershell, no puedes usarlo en winXP o anteriores (lo se porque yo tengo winXP sin embargo lo eh probado en win7,win8,win10), y no estoy seguro de que se pueda ejecutar ejemplo: en el usuario Invitado o un usuario sin privilegios.

2do Método: Descargar ntpassword (Pagina oficial) => No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo descargas lo grabas en un cd/dvd (Te recomiendo que uses Alcohol 120%, ese fue el que yo use para grabar ntpassword), reinicias el pc-Victima, insertas el cd/dvd, seleccionas el menu de booteo, selecciones el nombre o id del cd/dvd y luego comenzara a iniciarse el software.

NOTA: Solo te digo como descargarlo y algo de como grabarlo, te recomiendo que busques en youtube porque hay muchos videos acerca de ntpassword

# Desventajas de este metodo: necesitas ntpassword, necesitas tiempo no solo descargando e grabandolo, tambien en el ataque ya que necesitas hacer muchas cosas para iniciarlo.

Recomendaciones: No ultilizes mimikatz, ya que si no tienes privilegios de administrador ya sea que sea usuario invitado o un usuario que no tenga privilegios no podras dumpear las contraseñas, si usas el segundo metodo usa la ingenieria social: di que vas reiniciar la pc por que se quedo colgada tendras un periodo de 30 seg. para hacer el ataque, eso es en caso de que te esten vigilando.

# Espero te halla servido 

Muchas gracias a todos por sus respuestas.

Les pasó a comentar que de momento he intentado con el script en powershell pero sin resultados satisfactorios ya que al intentar ejecutarlo me dice: "No se pudo cargar el archivo porque está deshabilitada la ejecución de scripts...". Obviamente intenté habilitarlos mediante el comando pero tampoco me dejó porque no tengo acceso a modificar el registro...

Edito

He podido ejecutar scripts por bypass mediante el uso del siguiente comando, pero lo triste es que no he podido terminar la ejecución porque pide Permisos de Administrador para hacer la segunda parte (crear el usuario).

Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope CurrentUser

Lo probe en mi PC personal con un usuario administrador y se me ha creado perfectamente el usuario pero este sigue como cuenta "Estandar" no en "Administradores" donde debería estar. Será porque en el comando para crear el usuario dice "administrators" en lugar de Administradores? (que es como se muestra el nombre del grupo al verificar por net localgroup). En primer lugar pensaría que no pero bueno, quiza ustedes sepan aclarar esta duda o bien decirme en que estoy errando.

Sobre el segundo metodo de ntpassword, no creo que funcione ya que al estar cifrado el disco con Bitlocker ToGo, al reiniciar la pc e iniciar desde CD/DVD/USB el mismo para acceder pide la Key, de lo contrario, no se puede acceder a ningún archivo.

En fin, creo que tendré que rendirme, porque tampoco no hay nadie "fisico" que ponga un password en el PC como para implantar algún Keylogger, lo hace la gente de sistemas mediante remoto y en contadas (muy) ocasiones que no quede otra que ejecutar como administrador algo.

Saludos.
Desde ya muchas gracias.

Ten en cuenta que con el metodo que uses, debes pegarla a la primera o estaras fuera de la empresa... Es probable que si el area de IT descubre software que no deberias tener, eso dispare alarmas.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CitarLo probe en mi PC personal con un usuario administrador y se me ha creado perfectamente el usuario pero este sigue como cuenta "Estandar" no en "Administradores" donde debería estar. Será porque en el comando para crear el usuario dice "administrators" en lugar de Administradores? (que es como se muestra el nombre del grupo al verificar por net localgroup). En primer lugar pensaría que no pero bueno, quiza ustedes sepan aclarar esta duda o bien decirme en que estoy errando.

No es un error, por si acaso se piensa, Yo use el ejemplo que me da el mismo Invoke-BypassUAC, El comando correto seria: net localgroup Administradores <usuario> /add

Administrators: Es por si acaso el windows esta en ingles (English)

CitarSobre el segundo método de ntpassword, no creo que funcione ya que al estar cifrado el disco con Bitlocker ToGo, al reiniciar la pc e iniciar desde CD/DVD/USB el mismo para acceder pide la Key, de lo contrario, no se puede acceder a ningún archivo.

Eh investigado y no encuentro información en concreto de si se puede quitar la password de windows (Con ntpassword) con los datos cifrados, pero te recomiendo que te lo descargues igualmente y lo grabes de verdad es muy bueno, yo lo tengo y lo eh probado, como ya lo eh mencionado. ntpassword utiliza un metodo que es resetear (o creo que sobreescribe el archivo SAM de windows => %systemroot%\system32\config), El archivo sam de windows almacena las contraseñas de los usuarios de windows.

Si ese archivo esta cifrado significa que windows puede tener un fallo ya que no podrá leer las contraseñas al iniciar sesión, pero te recomiendo que aun lo sigas intentando.

CitarEn fin, creo que tendré que rendirme, porque tampoco no hay nadie "fisico" que ponga un password en el PC como para implantar algún Keylogger, lo hace la gente de sistemas mediante remoto y en contadas (muy) ocasiones que no quede otra que ejecutar como administrador algo.

No te rindas hermano, uno no sabe si de repente el motodo que te digo funciona (Por x motivo, ya sea porque sea tu dia de suerte), Aveces veo softwares que tienen funciones que yo digo: "Como hacen eso es super espectacular", investigo e investigo y tarde o temprano lo consigo.

- Sigue intentando, y no te rindas tan facil

Nota: ntpassword no se inicia desde windows si no desde el menú de booteo, El archivo SAM no se puede leer desde windows pero si desde otro sistema operativo, como lo es linux (ntpassword esta escrito en linux)

Espero te halla ayudado

- DtxdF

Gracias por las respuestas y aún más por el ánimo pero no hubo caso.... Parece que contra Bitlocker no hay nada que hacer. A decir verdad estoy sorprendido porque es la primera vez que no puedo llegar a puerto con algo en MS.

Estuve pensando y buscando alternativas como extraer el archivo SAM sin privilegios de administrador, o alguna manera de hacer un bruteforce a un usuario especifico de la red (que se que tiene privilegios de administrador) pero sin resultados tampoco.

Por lo tanto, creo que por ahora me daré por vencido.


Saludos.

Si lo que necesitas es el Office, puedes sustituirlo con los docs de google.


Por otro lado, hoy en día hay máquinas virtuales que puedes correrlas desde el navegador.

Saludos.