TP3 SCCM WSUS - NergYR/SAE-PentestAD GitHub Wiki

⚙️ TP3 - Attaques SCCM / WSUS sur iut-rambouillet.uvsq.fr

Ce TP se concentre sur les vulnérabilités et les techniques d'attaque spécifiques aux environnements gérés par SCCM (System Center Configuration Manager) / MCM (Microsoft Configuration Manager) et WSUS (Windows Server Update Services) au sein du contexte iut-rambouillet.uvsq.fr et uvsq.fr.

🎯 Objectifs Généraux

  • Devenir administrateur local d'un poste via une attaque WSUS.
  • Exploiter SCCM pour obtenir un compte capable d'ajouter des ordinateurs au domaine uvsq.fr.

🛠️ Prérequis

  • Avoir terminé les TP1 et TP2.
  • Environnement Exegol.
  • Accès aux environnements de test simulant iut-rambouillet.uvsq.fr et uvsq.fr.
  • Contexte fourni :
    • Pour la Partie 1 (WSUS) : Vous avez un accès initial à un poste Windows dans le domaine iut-rambouillet.uvsq.fr. Une documentation sur la masterisation des postes existe et pourrait être utile.
    • Pour la Partie 2 (SCCM) :
      • Vous disposez d'un compte élève qui est administrateur local du poste sur lequel vous travaillez (ce poste est dans le domaine uvsq.fr).
      • Il existe un compte tech qui a les permissions pour joindre des ordinateurs au domaine uvsq.fr.

📖 Rappels sur SCCM et WSUS

SCCM (System Center Configuration Manager)

(Section à compléter : rôle, architecture, composants clés, points d'intérêt pour un attaquant, communication client-serveur, comptes de service)

WSUS (Windows Server Update Services)

(Section à compléter : rôle, fonctionnement, interaction avec les clients, faiblesses potentielles, GPO de configuration WSUS, signature des mises à jour)

🚀 Exercices

Partie 1 : WSUS - Escalade de privilèges locale

  • Objectif : Devenir administrateur local d'un poste Windows du domaine iut-rambouillet.uvsq.fr.
  • Scénario : Après vous être connecté au poste (en vous référant potentiellement à une documentation sur la masterisation pour obtenir un premier accès ou des informations), vous exploiterez une vulnérabilité ou une mauvaise configuration de WSUS pour élever vos privilèges au niveau administrateur local.
  • Outils potentiels : PyWSUS, SharpWSUS, ou autres outils d'attaque WSUS.
  • Étapes :
    1. Reconnaissance WSUS :
      • Identifiez le serveur WSUS utilisé par le poste client (via GPO, registre, trafic réseau).
      • Vérifiez si des vulnérabilités connues sont présentes ou si des configurations faibles sont exploitables (ex: communication HTTP, absence de signature SSL stricte).
    2. Préparation de l'attaque :
      • Choisissez un outil d'attaque WSUS.
      • Préparez une charge utile (payload) qui, une fois exécutée sur le poste client, vous accordera des droits d'administrateur local (ex: ajout de votre utilisateur au groupe Administrateurs local, création d'un nouveau compte admin).
    3. Exécution de l'attaque :
      • Utilisez l'outil pour injecter votre fausse mise à jour ou manipuler le processus de mise à jour du client.
      • Forcez le client à vérifier les mises à jour pour qu'il télécharge et exécute votre payload.
    4. Vérification :
      • Confirmez que vous avez obtenu les droits d'administrateur local sur le poste.
  • Questions :
    • Comment la "documentation de masterisation" a-t-elle pu vous aider (si applicable) ?
    • Quelles configurations WSUS rendent ce type d'attaque possible ?
    • Comment un administrateur système pourrait-il détecter ou prévenir cette attaque ?

Partie 2 : SCCM - Obtention d'un compte de jonction au domaine

  • Objectif : Obtenir un compte (ou les identifiants d'un compte) capable d'ajouter un ordinateur au domaine uvsq.fr.
  • Scénario : En tant qu'administrateur local (compte élève) d'un poste déjà dans le domaine uvsq.fr et géré par SCCM, vous allez chercher des faiblesses dans la configuration ou le fonctionnement de SCCM pour compromettre un compte ayant des droits de jonction au domaine (similaire au compte tech).
  • Outils potentiels : SharpSCCM, PowerSCCM, scripts PowerShell, outils d'énumération AD.
  • Étapes :
    1. Reconnaissance SCCM depuis le client :
      • Identifiez le serveur SCCM, les points de distribution, les comptes de service utilisés par l'agent SCCM local.
      • Explorez les tâches SCCM exécutées, les packages disponibles, les configurations poussées.
    2. Recherche de faiblesses :
      • Cherchez des identifiants en clair dans les scripts de déploiement SCCM, les fichiers de configuration de l'agent, ou les journaux.
      • Identifiez si l'agent SCCM s'exécute avec des privilèges élevés qui pourraient être abusés.
      • Recherchez des partages SCCM mal configurés.
    3. Exploitation :
      • Si une faille est trouvée (ex: identifiants du compte tech stockés de manière non sécurisée et accessibles, ou une tâche SCCM exécutable permettant de récupérer des informations), exploitez-la.
      • L'objectif est de récupérer les informations d'identification du compte tech ou d'un compte équivalent.
    4. Alternative : Pousser un script via une faille SCCM :
      • Si vous trouvez un moyen d'influencer les déploiements SCCM (nécessiterait probablement plus de droits que simple admin local du poste, mais à explorer), essayez de pousser un script sur d'autres machines ou sur le serveur SCCM lui-même pour exfiltrer des informations ou obtenir un accès privilégié.
  • Questions :
    • Quelles informations de l'agent SCCM local ont été les plus utiles ?
    • Décrivez la faille ou la méthode que vous avez utilisée pour obtenir les informations du compte de jonction au domaine.
    • Comment les entreprises peuvent-elles sécuriser les déploiements SCCM pour éviter ce type de fuite d'identifiants ou d'abus ?

Remarque : La manipulation de SCCM et WSUS peut avoir des impacts importants. Agissez avec prudence et uniquement dans le cadre autorisé.