ASafety Crer un compte administrateur invisible sous Windows (XP,...

1 sur 6

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

mai 26, 2016

mai 04, 2016

Lexcution dapplication sous un compte administrateur est une

problmatique souvent aborde sur les nouveaux Windows. Il
peut savrer ncessaire de crer de nouveaux comptes
administrateurs pour excuter tels ou tels processus avec ces
droits.
mai 01, 2016

Avec une vision plus ngative, de potentiels attaquants ont

rgulirement recours la cration dun compte administrateur
lorsquils infectent un systme. La raison? Ne pas interfrer avec
le compte de ladministrateur lgitime, mais oprer en secret sous

15/06/2016 12:09

ASafety Crer un compte administrateur invisible sous Windows (XP,...

2 sur 6

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

un compte qui dispose de tous les droits et ce le plus invisible possible.

Actualits & News (5)

Administration rseaux et

En effet, une des fonctionnalits les plus rpandue des Windows Server est le

systmes (22)

service TSE/RDS permettant la prise de contrle distante de lenvironnement

ASafety News (2)

(cran / clavier / souris). Lorsquun Windows Server est compromis, les

Base de donnes SQL

assaillants sempressent de crer un compte administrateur cach pour

(2)

conserver un accs permanent au systme, mme si le mot de passe de

MSSQL (2)

ladministrateur lgitime est chang.

MySQL (1)
Oracle (1)

La cration dun compte administrateur sur un environnement Windows est on

ne peut plus simple via un terminal. Deux commandes suffisent :

Contributions (17)
Cryptologie (7)
Cryptanalyse (4)

net user <login> <password> /add

net localgroup administrateurs <login>
/add

Cryptographie (7)
Divers (1)
Invisibilit & camouflage
(9)
Opensource (2)
OS (27)
BSD (3)
Linux (10)
Windows (16)
Programmation &
Dveloppement (10)
Projets & outils (6)
Vulnrabilits, exploits et
PoC (40)

Cration

dun

compte

administrateur

en

ligne

de

commande sous Windows

Comme illustr sur la figure prcdente, la commande net user permet de
lister tous les comptes du systme et lon voit bien la cration de notre nouveau

CSRF (9)
Local File Disclosure (2)
Open-Redirect (3)
PHP Object Injection (1)

compte NEW_LOGIN . Toutefois, aprs lexcution de ces commandes, ce

Privilege Escalation (7)

compte est visible dune part via la commande net user mais aussi lcran

RCE (10)

de connexion du systme si celui-ci est activ. Un des mcanismes utiliss pour

SQL Injection (3)

cacher ce compte de la commande net user est de faire suffixer le nom du

XSS (24)

compte par un $ . Celui-ci deviendra automatiquement invisible :

net user <login>$ <password> /add

net localgroup administrateurs <login>$
/add

mai 2016
avril 2016
mars 2016
janvier 2016
novembre 2015
octobre 2015
septembre 2015
avril 2015
mars 2015
janvier 2015
dcembre 2014
septembre 2013

15/06/2016 12:09

ASafety Crer un compte administrateur invisible sous Windows (XP,...

3 sur 6

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

aot 2013
juillet 2013
mai 2013
avril 2013
mars 2013
fvrier 2013
janvier 2013
dcembre 2012
novembre 2012
Cration dun compte invisible via la commande net

octobre 2012
septembre 2012

user

aot 2012
Cette solution satisfait amplement les assaillants souhaitant garder lanonymat
sur les machines Server. Toutefois, dans le cadre de postes clients qui listent les
comptes existants sur le systme ds le Winlogon, ce nouveau compte est

juillet 2012
juin 2012
mai 2012

visible. Exemple sur Windows 7 :

Compte visible sous le Winlogon

Ainsi, une solution additionnelle existe permettant de camoufler le compte ds le
Winlogon. Pour raliser ceci, une cl du registre de type DWORD doit tre
cre avec pour nom le compte cacher et comme valeur 00000000 cet
emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Pour raliser cet ajout

au sein dun terminal, la commande est la suivante :

C:\>reg add 'HKLM\SOFTWARE\Microsoft

\Windows NT\CurrentVersion\Winlogon
\SpecialAccounts\UserList' /v
'NEW_LOGIN$' /t REG_DWORD /d '00000000'
L'opration a russi.

A partir de l, le compte NEW_LOGIN$ sera invisible de la commande net

user et du Winlogon :

15/06/2016 12:09

ASafety Crer un compte administrateur invisible sous Windows (XP,...

4 sur 6

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

Compte invisible au Winlogon

Il est par consquent ncessaire de bien contrler les diffrents comptes crs
localement sur un systme. En particulier la cl du registre qui permet de les
cacher du Winlogon. Pour ce qui est de la commande net user qui naffiche
pas les comptes suffixs dun $ , ce soucis ne sapplique pas avec la
commande net locagroup <nomdugroupe> qui liste convenablement tous les
membres du groupe, mme ceux qui dispose dun $ .

Consultant en scurit informatique et sexerant

dans ce domaine depuis le dbut des annes 2000
en autodidacte par passion, plaisir et perspectives, il
maintient le portail ASafety pour prsenter des
articles, des projets personnels, des recherches et dveloppements, ainsi
que des advisory de vulnrabilits dceles notamment au cours de
pentest.

15/06/2016 12:09

ASafety Crer un compte administrateur invisible sous Windows (XP,...

5 sur 6

Comments

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

Misioncam

Bonjour,
et merci pour ce tuto. Mais par la suite, comment fait-on
pour se connecter sur ce compte local cach ?

Yann C.

Bonjour Misioncam,
Une fois cr, le compte est prsent et utilisable
sur la machine. Il est cach du winlogon
exposant les comptes locaux disponibles (via la
modification du regedit). Pour se connecter sur
ce compte, il est possible de renseigner
manuellement le login/password sur une mire
d'authentification de la sorte :
http://www.mydigitallife.info/...
Ou encore exploiter les privilges du compte
avec des commandes comme "runas" dans un
terminal..
Celui-ci est galement atteignable via une
connexion RDP / MSTSC avec une
authentification locale.
C'est un compte "comme les autres", il est juste
camoufl :) !
En esprant t'avoir apport les prcisions
souhaites,

ASAFETY

Protger un serveur web

Apache2 avec suEXEC et

Oui en effet,
Avatar
aprs avoir regard je n'ai
pas report cette

[CTF NDH 2016 Quals]

Write-Up Cryptography :

Avatar
Great writeup. Even
though its not my native

15/06/2016 12:09

ASafety Crer un compte administrateur invisible sous Windows (XP,...

6 sur 6

https://www.asafety.fr/vuln-exploit-poc/privilege-escalation/creer-un-...

Capture The Swag dans

Connexion

[CTF NDH 2016 Quals]

Write-Up Cryptography
: Toil33t

Flux RSS des articles

fevil dans Les ADS de

RSS des commentaires

mai 26, 2016

avril 02, 2015

Windows pour camoufler

vos fichiers dans des
fichiers

Site de WordPress-FR

Yann C. dans Protger

un serveur web Apache2

mai 04, 2016

oct. 22, 2012

avec suEXEC et suPHP

Jrmie dans Protger

un serveur web Apache2
avec suEXEC et suPHP

mai 01, 2016

oct. 25, 2012

15/06/2016 12:09