Corrompez Windows sans l'allumer [Kernel land]

[KPCR]

Ah, l'envie quasi obsessionnelle de contrôler le premier pc venu chez les geeks, toute une histoire !

Tout le monde connait l'idée du "je fais f8 et je démarre en mode sans échec" mais c'est maintenant tellement connu que c'est toujours bloqué.

Il existe aussi la solution de booter sur un live cd de type backtrack. Mais celle ci aussi peut-être bloquée et manque d'un côté élite fancy.

Voici donc une méthode "quasi inédite" car inconnue du grand public. Elle marche sur toutes les versions de windows, n'est jamais bloquée car destinée au debug du noyau et peut être effectuée très rapidement si vous avez les connaissances requises (qui vous seront exposées plus bas).

Elle vous permettra d'obtenir un accès SYSTEM sur un pc ou vous n'auriez peut-être qu'un accès invité et ce sans avoir à démarrer windows de manière conventionnelle.

Pour mener à bien cette opération, il vous faut :
-un pc portable sous windows sur lequel vous possédez le debugger kernel KD de Microsoft.
-un cable null modem.
-de très bonnes connaissances concernant windows et son kernel debugger (et je parle pas de conneries de lamer mais de connaissances pointues, pour ceux qui ne l'auraient pas encore compris)

Voici les étapes :
-vous branchez votre laptop au pc que vous voulez own (en l'allumant au préalable et en démarrant kd en le configurant de sorte à ce que vous puissiez opérer en remote, bien sur).
-vous tapotez f8 au boot du pc
-vous choisissez "mode débogage"

Et là, les bidouilleurs érudits ou encore les habitués de mon ancien blog ou de celui de reverseur kernels tels 0vercl0ck ou ivanlef0u ne seront pas dépaysés puisque vous vous retrouvez dans une configuration similaire à celle énoncées sur les dits blogs lors des phases de reversing ou de test avec le kd reliée à une vm en simulant une connexion de type COM1.

Sauf qu'ici, c'est du réel.

Les solutions sont, à partir d'ici, énorme.
Vous pouvez toucher à toutes les tables kernel land, telles la SSDT, l'IDT ou encore la GDT, pour ceux qui ont l'habitude de me lire. Ainsi qu'à toutes les structures. En exagérant vous pourriez presque faire du DKOM pour, par exemple, cacher un process en modifiant la PsActiveProcessHead.

Ou plus simplement pour les moins courageux d'entre vous qui veulent imiter les techniques d’antan qui ouvraient un cmd avec permissions SYSTEM :
-listez tout les process en dumpant leurs infos types offset et handles avec un coup de !process 0 0
-une fois l'adresse de l'image cmd trouvée , on ouvre le process avec "!process *adresse*"
-Dans la liste chainée EPROCESS, notez le token d'un process SYSTEM
-remplacez le token de cmd par le token précédemment noté.

Et boum voilà que le pc victime aura un beau cmd avec permission SYSTEM.
C'est pas beau ça ?

[CyberSee]

Très beau tuto KPCR :-)
J'espère que ce sera le premier d'une longue ligner ^^

REP +20 ;-)

[itcef]

Joli tuto +REP

[Spyke]

+1 pour la citation Divanlefou :p

[fr0g]

+20 de rep mec, merci pour l'article, bien joué à toi

[MadHatter]

Tuto très intéressant.
Cependant, beaucoup d'abréviations et de termes obscures pour une quantité non-négligeable de gens.
"Pour ceux qui ont l'habitude de lire mon blog". Et ceux qui n'en ont pas l'habitude ? Banc de touche ?
En espérant pouvoir lire de prochains tutos qui expliqueront tout ça .

[supersnail]

Bonjour,

Personnellement, je pense que le tutoriel est assez facile à comprendre si le truc qui est entre nos deux oreilles est en état de marche... (ce qui est censé être le cas dans une communauté comme celle-ci). Puis, un p'tit coup de google pour ceux qui n'ont pas compris peut aussi s'avérer fructueux.
En effet, un hacker digne de ce nom doit être capable de se débrouiller dans une situation un peu complexe, et apprendre à chercher par soi-même (sinon on fait des espèces de bots qui peuvent suivre un tuto à la lettre mais qui savent rien faire au-dehors, un peu comme sur le SDZ).
Et l'article étant pour un public "avancé", je pense qu'il est parfait tel qu'il est.

[oxoo]

Iop, intéressant . Par contre, faut que l'user ait une ligne de boot.ini qui autorise ce débogage noyau (comme quand on veut déboguer une VM et qu'on ajoute un port COM pour attacher windbg), non ? (j'reboot pas mon 2eme pc pour tester, j'ai pas de câble qui va bien )

Après, y'a moyen de bien se marrer avec ça, c'est clair .

EDIT : j'ai rien dit... what the fuck quoi. J'vais m'acheter un cable COM . Par contre, si le disque est chiffré, c'est râpé :/

[cнєrσkєє]

Très joli tuto, bravo

-cherokee

[ark]

cнєrσkєє, je te décerne la palme d'or du déterrage de topic le plus énorme du forum, attention a regarder la date la prochaine fois... (a la limite pour une contribution utile, je dis pas, mais la, tu pouvais mettre juste un pouce vert au post, et voila x))

[coincoin]

En déterrant honteusement ce topic, je me pose la question, il y a t-il si des gens qui ont essayé ce procédé sur des versions récentes de windows ?

[supersnail]

Bonjour,

Pas du tout à vrai dire, même si ça devrait pas trop changer (à moins que patchguard surveille les objets kernel)

[coincoin]

Là on parle d'un feature, créée par M$, ça serait terriblement con si KPP gênait le passage pour debug le kernel ?