Señores aquí me tienen nuevamente, hoy les hablaré de una característica no muy conocida en uno de los tan usados sistemas operativos de Microsoft®: Windows XP. Empecemos definiendo qué es la escalación de privilegios: Es el acto de aprovechar una falla en alguna aplicación de software para obtener acceso a recursos que normalmente estuvieran protegidos por alguna aplicación o usuario. Lo que describo en este post es una falla que salió hace más de 1 año y medio y aún está activa en muchos sistemas. No pretendo decir que esta falla ha sido descubierta por mí. Alguien lo hizo y publicó lo que supo. Pasó el tiempo e imagino que más de uno lo usó para su propio beneficio. Ahora, porqué no aprovechar este conocimiento para el bien? Pues sí, también se puede hacer, y lo describiré pues en más de una oportunidad me ayudó, desde poder recuperar información, restaurar contraseñas y cuentas de usuarios hasta para poder eliminar virus de manera satisfactoria. Es posible también que a muchos usuarios ya nos les funcione lo que aquí describiré, pues algunos parches y/o actualizaciones del Sistema Operativo ya corrigieron este error. Si te funciona, en buena hora, al menos a mí hasta ahora me ha funcionado y en el 90% de equipos que he manipulado he logrado hacer esto. Ahora, un poco de teoría. Cuando el sistema Operativo inicia, muchos de los procesos y servicios se ejecutan con una cuenta Local llamada System. La cuenta Local System es una cuenta a la que los usuarios “mortales” como nosotros no deberíamos tener acceso jamás, pues si la cuenta de Administrador es lo máximo ya que tienes “todos” los permisos y accesos a los recursos del sistema, la cuenta System es el Supremo Administrador, osea algo como el Administrador de administradores. Te estarás preguntando y para qué existe la cuenta System, pues la verdad no lo sé, jajaja, es broma, si lo sé y te diré porqué. Hay recursos y servicios del sistema que son críticos para el funcionamiento del mismo, significa que ni siquiera el mismo Administrador debería poder manipularlos, esto significó que se debía crear una cuenta Local pero a la cual sólo pueda acceder el mismo sistema operativo, más no los usuarios ni siquiera el mismo Administrador. Y así lo hicieron… Si te has percatado alguna vez cuando hiciste Ctrl+Alt+Supr en el Administrador de Tareas habrás visto procesos ejecutados por la cuenta System y otras por el Usuario que en ese momento está logueado. Muchos de estos procesos ejecutados por System son tan críticos que si intentas terminar algunos de estos procesos o bien te niega el acceso y no lo puedes terminar o si lo terminas el sistema entra en una inestabilidad crítica. Pues ahora vamos a ver cómo a partir de una cuenta de Administrador o con permisos de Administrador podemos elevar nuestros privilegios y conseguir la tan ansiada cuenta System. Para este ejemplo usaremos 2 cuentas: Cuenta VM_Felipe, que es una cuenta con privilegios de Administrador. Veremos que con la cuenta VM_Felipe a pesar de tener privilegios Administrativos no se puede acceder a las Carpetas de las cuentas de otros Administradores, en este caso a la cuenta del Administrador Cuenta Administrador, a esta cuenta entraremos usando la cuenta System. Accederemos a las carpetas del administrador para recuperar la Carpeta Escritorio, Mis Documentos y la carpeta donde almacena sus correos ya que es información muy importante para la empresa. En este caso lo haremos para poder acceder a la Carpeta del Administrador al cual se le olvidó la contraseña y no podemos acceder a su cuenta ya que los documentos que pertenecen a esa cuenta están con privilegios de acceso solamente a esa cuenta. Es más ni siquiera con la cuenta de VM_Felipe se puede acceder a esa carpeta. Recalco que la información a recuperar es vital y encima no tenemos tiempo de estar desarmando la computadora y poner el disco como esclavo para poder acceder a esas carpetas, incluso después de hacer eso te darás con el chasco de no poder acceder por falta de permisos. Pero espera, no desesperes, por eso está este tutorial. Para ayudarte en situaciones extremas. Ya me siento tipo Survivor Man, jajaja, nada que ver, pero bueno, continuemos. En la siguiente imagen estamos logueados en la cuenta VM_Felipe que es una cuenta administrativa. Ahora, cerramos sesión. Ahora presionamos Ctrl+Alt+Supr, 2 veces seguids para obtener la siguiente ventana en la cual nos loguearemos como Administrador. Nos logueamos, en este caso aún la cuenta Administrador no tiene clave así que la vamos a poner para emular el caso que comentamos. Apenas logueados, creamos la contraseña para el usuario Administrador. Estableceremos el acceso a los archivos y carpetas de Administrador como privados para hacerla un poco más dificil el acceso desde otras cuentas. Claro a todas menos a System. Ahora, una vez creada la contraseña, cerramos la sesión. Accedemos ahora a la cuenta VM_Felipe. Ahora, estamos en el caso que comentamos arriba, se nos olvidó la clave y necesitamos acceder a las carpetas del Administrador para recuperar su información. Abramos un explorador de Windows. Intentemos acceder a la carpeta del Administrador y vemos que nos sale error de Acceso: Acceso Denegado. Como vemos aún nuestra cuenta VM_Felipe que es también una cuenta Administrativa nos deniega el acceso. !! Necesitamos la información !! Aquí, es donde empieza la VERDADERA ACCIÓN. Vamos a escalar los privilegios de VM_Felipe a System, para eso ejecutaremos la poderosa Consola, Intérprete de comando, Línea de comandos, DOS, o como más lo conozcas. Así que vamos al menú ejecutar (tecla windows + R), o menú Inicio, Ejecutar. Y tecleamos CMD y le damos en Aceptar. Una vez dentro de la línea de comandos usaremos el comando “at.exe”, este comando también es conocido como el programador de tareas desde la línea de comandos. Ahora, la falla o el problema está en que cuando un usuario ejecuta una línea de comandos (cmd.exe) mediante el comando “at.exe”, esta línea de comandos hereda permisos de la cuenta de sistema (System). Con esto, basta con reiniciar el Explorador (explorer.exe) desde esa ventana para que los nuevos procesos ejecutados desde esta misma ventana se ejecuten con privilegios de la cuenta System!!. NOTA: Esta técnica sirve para elevar los permisos de “Administrador” a “System” debido a que el uso del comando “at.exe” no está permitido para todos los usuarios, solo a aquellos con cuentas Administrativas. Entonces vamos a programar que el comando “at.exe” ejecute el “cmd.exe”. Para esto necesitamos la hora, así que usamos el comando “time.exe”. Vemos que la hora es 22:56, así que programos se ejecute el “cmd.exe” a las 22:57, usando el siguiente comando enmarcado en amarillo. Luego de ejecutar el comando, vemos que se agrega el trabajo para ejecutar el cmd. A las 22:57 se ejecuta nuestra tarea y vemos que aparece nuestra línea de comando. Debo recalcar nuevamente que esta nueva línea de comandos no es cualquier línea de comandos, es una línea de comandos que ha heredado permisos de la cuenta System, osea es una Línea de comandos de System!! Ahora, minimizamos nuestra de línea de comandos marcada en rojo y cerramos la primera línea de comandos en la que ejecutamos el comando “at.exe”. Ahora como les dije. La nueva consola o línea de comandos que tiene privilegios de System es capaz de hacer cualquier cosa. Así que vamos primero a empezar cerrando el proceso del Explorador de Windows que aún se está ejecutando con permisos del usuario VM_Felipe. Para esto usamos el comando: taskkill /f /im explorer.exe Hecho esto, veremos que nos quedamos sólo con la línea de comandos. Ahora, desde esta línea de comando, ejecutemos el Explorador de Windows (explorer.exe), este Explorador que ejecutaremos desde esta consola, será un Explorador con permisos de la cuenta System! Esperamos unos segundos, y vemos que estamos en la cuenta System. !El poder TOTAL! Ahora, con esta cuenta System, intentemos de nuevo acceder a las carpetas del Usuario Administrador para recuperar su información. Al seleccionar la carpeta del Administrador, ya no nos sale el mensaje de acceso denegado, tenemos Acceso TOTAL, como verás la siguiente imagen enmarca en rojo las carpetas del usuario Administrador a la que no podíamos acceder desde la cuenta VM_Felipe, así que ahora podemos sacar un backup o copia de seguridad de las Carpetas más preciadas de este usuario. Y por consiguiente alegrar o quitar el stress de un ser humano, nuestro granito de arena al mundo. Aplicación Práctica en lucha contra el Software Malicioso Supongamos ahora que has sido infectado con un terrible software malicioso que hace casi imposible su eliminación. Lo has intentado casi todo, has usado todos los programas habidos y por haber, has usado el hijacthis, a2hijackfree, el killbox, et, etc. A mí de manera particular me tocó uno que se había enganchado al proceso de sistema LSASS.EXE, ahora, mientras esté enganchado al LSASS.EXE y éste esté activo no habrá forma de eliminarlo. Y como recordarás, cuando intentas finalizar el proceso LSASS.EXE desde cualquier cuenta, te sale lo siguiente: Así que volvamos a nuestra consola System e intentemos terminar el Proceso LSASS.EXE, con el comando: taskkill /f /im lsass.exe Se termina correctamente el proceso. Pero al hacer esto automáticamente el sistema intenta protegerse y programa el reinicio automático del sistema. Pero aún debía yo eliminar el proceso malicioso, pues si reiniciaba, se volvería a cargar. Ahora tenía ventaja, una ventaja de 60 segundos para eliminar el software malicioso. Pero espera, nosotros somos más listos, porque hacer todo a la apurada? acaso no podemos cancelar este reinicio? jejeje, SI, SI PODEMOS, para esto, en la misma consola escribimos el comando para cancelar el reinicio: shutdown -a Listo!!! Tenemos los procesos de reinicio cancelados y también los procesos con ganchos maliciosos terminados, ahora se procede a eliminar cualquier cosa que te esté fastidiando. Si haces Ctrl+Alt+Supr despues de haber finalizado el proceso LSASS.EXE verás lo siguiente. Luego de haber paseado a tus anchas por el Paraiso, puedes proceder a cerrar la consola usando el comando “exit” aqui acaba el tuto, espero le guste a mas d uno, porque de que les va a servir les va servir, yo lo eh probado personalmente y anda 100%, un gracias no estaria demas.... fuente: mi compatriota y amigo geekside
