Dumpeo de SYSTEM

Windows Privilege Escalation

SYSTEM es uno de los archivos críticos del Registro de Windows. Forma parte de lo que se conoce como “hives” (colmenas) del registro, y su función es almacenar la configuración del sistema operativo a nivel de kernel y servicios. No se recomienda el acceso directo a estos archivos para usuarios promedio, y un error relacionado con esta ubicación a menudo indica un archivo de registro dañado o faltante, lo que puede requerir el uso de herramientas como Restaurar sistema, sfc /scannow o DISM para su reparación. No elimine ni edite manualmente archivos en la carpeta ya que esto puede causar una grave inestabilidad del sistema o impedir que Windows arranque.

SYSTEM se ubica en C:\Windows\System32\config\SYSTEM, junto a la SAM.

tener control sobre este archivo podría permitirnos acceso a hashes de contraseñas del sistema, usarse con herramientas, extraer hashes NTLM/LM (hacer Pass The hash), persistencia, análisis de configuraciones vulnerables, alterar configuraciones de seguridad, identificar permisos elevados, etc.

Copiando SYSTEM usando VSS (requiere administrador)

  • VSS o Volume Shadow Copy es Es un servicio de Windows que crea "instantáneas" (snapshots) de volúmenes mientras están en uso, Permite restaurar archivos a una versión anterior sin tener que detener las aplicaciones, facilitando la recuperación de datos perdidos o modificados accidentalmente. permitiendo acceder a archivos bloqueados.

vamos a empezar creando una instantánea del disco C:, lo que permite acceso a archivos del sistema que normalmente están bloqueados por medidas como lsass e incluso evitar detección temprana ya que no modifica el archivo original, solo lo lee sin interferir con el sistema

vssadmin create shadow /for=C:

el output esperado es parecido a:

Con exito se creó la copia de sombra: '{GUID-1234-...}'

ahora vamos a copiar todo:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\SYSTEM.vss

podemos usar los archivos obtenidos con herramientas como secretsdump.py de impacket 

# Con todos los archivos necesarios
secretsdump.py -system SYSTEM.vss -sam SAM.vss -security SECURITY.vss LOCAL

# Solo con SYSTEM y SAM
secretsdump.py -system SYSTEM.vss -sam SAM.vss LOCAL

estos comandos se enfocan en extraer credenciales de archivos del registro Windows de forma offline.

Tecnicas contra SYSTEM (con bajo privilegio)

  • próximamente

PreviousDumpeo de la SAMNextMimikatz

Last updated