Denk dat dit een configuratie fout is.
Maar het zou me niets verbazen als het werkt heb hier geen beperkt account momenteel zal vanavond eens een testje doen.
Maar het lijkt me wel mogelijk

Zo ver ik weet zou dit niet werken maar er zijn genoeg andere manieren om admin priveleges te krijgen op school.
Denk aan je CMD renamen om zo System rechten te krijgen.

Dit ziet er ook uit als de vista/server2008/xp/server 2003 hack met fysieke toegang.
rename _een_ hulpprogramma en hernoem je cmd naar dat hulpprogramma.
Log uit, en vraag een hulp programma op.
Omdat de CMD naar dat hulpprogramma is vernoemt start CMD op/
Aangezien er nog niks is ingelogd kom je op system niveau- hoger dan admin.
hier hoef je dan alleenmaar explorer.exe te starten en je bent binnen met een GUI.


Maar sowieso is het dan alsnog computer vrede breuk als hij zijn rechten heeft elevated.
Dus computervredebreuk blijft.
Als iemand zijn fiets geen slot heeft mag ik hem toch ook niet pikken?

Wat school had kunnen doen om dit tegen te houden was alle vormen van CMD en of uitvoeren te stoppen.
Dus ook command.com en andere manieren om een shell op te roepen te stoppen. (die disclose ik niet)
Spul als Deepfreeze en of hardware keys om de PC na een reboot in de orginele staat terug te zetten dat er niet mee gekloot kan worden.
Bios acces disablen, sociale controle.


Tevens maakt AT gebruik van de Task scheduler service waar andere fuck programma's zoals lanhelper ook mee werken.

Zover ik weet maakt de task scheduler service gebruik van de persoon die ingelogd is. Deze kan dus niet zomaar elevaten naar root rechten.

Dus als ze ook overal de taskscheduler service uithadden staan, had dit ook al niet gekund.


het commando zou dan trouwens moeten zijn.

Ook al werkt deze nog niet ga ik me even er niet verder in verdiepen.

"AT //locahost time 14:00 /interactive command cmd.exe /k"

Je kan zelfs achter de mogelijkheden komen door in een DOS prompt:

at /?
cmd.exe /?
of alles laten wegschrijven naar je c:/ schijf.

at /? > c:\atuitleg.txt
cmd /? > c:\cmduitleg.txt

Je moet al administrator rechten hebben, om het AT commando te kunnen gebruiken. Zie dit Microsoft KB artikel: http://support.microsoft.com/kb/313565

Oftewel, ze hadden al iets anders gedaan om administrator rechten te verkrijgen, of het systeem was uberhaupt niet goed dichtgetimmerd.

Het gebruik van AT vereist inderdaad Administrator rechten. Daarbij is dit een oude bug, welke nog niet in Windows XP is gefixed.
Deze bug is laag geclassificeerd doordat men lokale toegang moet hebben en Administrator rechten.
Door het gebruik van AT op deze wijze, krijgt men lokale SYSTEM rechten. Download WhoAmI voor Windows XP als je het wilt testen.

Deze bug werkt niet als men de rechten op het bestand AT.EXE niet heeft aangepast en men geen lokale administrator rechten heeft. Indien men Windows XP op FAT32 heeft geïnstalleerd, kan het zijn dat men het wel kan uitvoeren. Deze mogelijkheid is nog niet getest door mijzelf.

Bij een installatie van Windows XP op NTFS geldt het onderstaande in mijn opinie:
Dus om van computervredebreuk te praten zal er meer gedaan moeten zijn om toegang te krijgen of men moet lokale administrator zijn. In het laatste geval is het vrij onduidelijk om er überhaupt sprake kan zijn van computervredebreuk om dat men alle behoorlijk hoge rechten op het systeem heeft. In het eerste geval is er duidelijk sprake van computervredebreuk volgens artikel 138a lid 1.

Dank iedereen voor de reacties tot dusverre. Ik ga er vanuit dat de klant eerlijk vertelt wat hij heeft gedaan. Ik verwacht dus niet dat het uitgevoerde CMD.EXE wat anders was dan de standaard CMD bij Windows.

Mag ik dus stellen dat het AT commando alleen gebruikt kan worden als je al adminrechten hebt, zodat van het verhogen van je niveau geen sprake kan zijn? In dat geval zie ik niet hoe er wordt binnengedrongen, de interface wordt dan alleen gereset (hoe zeg je dat). Je mocht al overal komen, maar je krijgt nu een kaart met alle routes in het gebouw in plaats van de bezoekerskaart van de eerste verdieping.

Van de klant begreep ik dat het probleem was dat hij geen schrijfrechten had op de C: schijf, en daarom via deze weg deze wilde verkrijgen.

Ik denk dat we kunnen stellen dat door een configuratie fout of mischien wel een nodige configuratie fout het mogelijk moet zijn geweest om at te kunnen gebruiken.
Hierdoor heeft de klant de mogelijkheid gekregen om bepaalde commando`s hier cmd.exe uit te voeren als zijnde administrator.
We mogen aan nemen dat de klant geen administrator rechten had aangezien hij policies had die op het systeem actief waren lijkt mij gezien het feit dat hij geen access had tot de c:\ drive.
Wat nog wel mogelijk is is dat hij local user admin is geweest die config zie je wel vaker in een corporate omgeving.
Dus user heeft rechten en policies vanuit AD en heeft lokaal admin rechten.

Als ik dit uitvoer als admin user krijg ik de rechten van NT AUTHORITY\SYSTEM.In feite maakt dit niet uit, want admin kan ook alles al. Met een normale user account geeft het uitvoeren van at.exe de melding "Toegang geweigerd".

Ik heb het wel eens geprobeerd en het werkt inderdaad ook zonder administrator-account.
Het 1 en ander is wel dicht te timmeren, maar bij een standaard installatie is dit gewoon mogelijk.

Alleen het process start niet weer automatisch op.
Maar goed, even intikken en klaar.

Overigens waarom test je het niet gewoon ?

Je laatste zin is louter het verschil tussen local admin rechten en volle adminrechten (bijv active directory:dan is de c geen c, maar staat mogelijk zelfs deels ergens anders op het netwerk)). het lijkt erop dat de school wel een geavanceerd windows systeem heeft maar wat minder geavanceerd beheer.
Jachra heeft daar zeer deskundig op geantwoord,

Arnoud, wat wil je proberen? Dat klant de school kan wijsmaken dat hij/zij niets fout heeft gedaan door admin rechten te krijgen omdat het mogelijk was? Je kan van alles ophangen richting de school dat het zogenaamd niet anders kon, maar als in de policy staat dat je jezelf gewoon geen anders/hogere/admin rechten mag toeeigenen dan maakt het niet uit hoe die klant het voor elkaar heeft gekregen. Daarnaast heb je aangegeven dat die klant het bewust gedaan heeft, dat maakt het ook al niet minder kwalijk.

Men zou dit kunnen lezen als dat C:\Windows\System32\at.exe zodanige permissies heeft dat alleen admins het kunnen starten. Dat is echter niet het geval (en ook onzinnig, dan zou je een at.exe, evt. hernoemd, op een USB-stick van thuis kunnen meenemen). Je kunt als gewone gebruiker echter gewoon uitvoeren: at /?

M.a.w. at.exe geeft een foutmelding als je, als gewone gebruiker, er scheduled tasks mee probeert aan te maken, te wijzigen of zelfs te bekijken. De reden hiervoor zijn de [url=http://msdn.microsoft.com/en-us/library/aa370702(VS.85).aspx]NETAPI32 schedule functions[/url] (NetScheduleJobAdd, NetScheduleJobDel, NetScheduleJobEnum en NetScheduleJobGetInfo) die door at.exe worden aangeroepen. Bij o.a. [url=http://msdn.microsoft.com/en-us/library/aa370614(VS.85).aspx]NetScheduleJobAdd[/url] staat onder meer: M.a.w. alleen leden van de groepen Administrators en Server Operators (die laatste alleen als je ergens een bitje zet) kunnen SYSTEM worden via at.exe.

Als gewone gebruiker kun je ook scheduled tasks creëeren, wijzigen, deleten of listen. Dit kan via het control panel applet "scheduled tasks" (of met het commandline programma schtasks.exe). Daarmee is het echter ([url=http://support.microsoft.com/kb/223375/en-us]volgens Microsoft[/url]) niet mogelijk om jobs aan te maken die onder het SYSTEM account draaien.

Waar het uiteindelijk om gaat is de directory C:\Windows\Tasks\ en de bestanden die daarin geschreven worden (zowel de inhoud als de permissies). Interessant is dat je als gewone gebruiker by default deels schrijfrechten hebt in die subdir: je kunt er bestanden in schrijven en zelfs subdirectories aanmaken. Dit ruikt naar mogelijkheden voor privilege escalations: wat als je op een computer waar je admin rechten hebt met at.exe een .job file aanmaakt en die in C:\Windows\tasks\ kopieert op een computer waarvan je geen admin rechten hebt?

Dit werkt echter niet zomaar: een jaar of wat geleden heb ik hier wat mee geëxperimenteerd, maar het mechanisme erachter niet kunnen achterhalen. Voor zover ik me herinner lag het niet aan de uiteindelijke bestandspermissies. Het zou kunnen dat elke .job file een secure hash over iets Windows-installatie-specifieks + het overige deel van de .job file bevat.

Om Arnouts vragen te beantwoorden:
Volgens de gegevens van Microsoft (zie boven) en voor zover mij bekend moet de gebruiker lid zijn van de groep Administrators om middels C:\Windows\System32\at.exe SYSTEM rights te verkrijgen. Erg zinvol is dat niet, want normaal gesproken hebben leden van de Administrators groep al bijna overal schrijfrechten. En waar ze dat niet hebben, kunnen ze met hun "Take Ownership" privilege die schrijfrechten verkrijgen zonder SYSTEM te hoeven worden. E.e.a. is m.b.v. policies wel wat lastiger te maken, maar ook die kunnen door leden van de Administrators groep worden gewijzigd.

Zeker is wat mij betreft dat ofwel jouw cliënt jou niet de waarheid heeft verteld (en hij/zij van een andere privilege escalation mogelijkheid gebruik gemaakt heeft), of dat de school van jouw cliënt minder sterker beveiligingsmaatregelen heeft toegepast, bijv. omdat bepaalde software anders niet werkt.

Als jouw cliënt wel de waarheid vertelt vermoed ik dat het systeem "beveiligd" was middels security by obscurity: namelijk dat gebruikers wel lid zijn van de Administrators groep, maar dat met policies en filesystem/registry-permissies de zaak zo goed mogelijk is "dichtgezet". Daar doorheenbreken is "minder moeilijk" (in de zin van dat Microsoft er geen securitypatch voor zal maken als je dit lukt) dan een echte privilege escalation vanaf een gewoon account. Ik zou het zelf eerder vergelijken met het passeren van bord "verboden toegang voor onbevoegden" zonder fysieke barrières versus het forceren van een cylinderslot.

Overigens zijn m.i. beide strafbaar en ongewenst: de systeembeheerders van die school nemen dergelijke maatregelen niet voor niets.

Iedereen mijn hartelijke dank voor de uitgebreide uitleg. Ik ben het met jullie eens dat hier iets is gebeurd dat tegen de schoolregels ingaat. Echter, er is aangifte gedaan van computervredebreuk en dat vind ik persoonlijk een stap te ver. Je doet toch ook geen aangifte van vernieling als een scholier kauwgum op een schoolbank plakt? Mijn gevoel zegt me dat de school haar eigen gebrekkige beveiliging probeert te maskeren door de strafwet in te zetten, en dat vind ik zeer kwalijk.

Vandaar mijn onderzoek of er wel degelijke opzettelijk en wederrechtelijk is "binnengedrongen" zoals de wet vereist. Een functie gebruiken waarvoor je permissies hebt van het systeem lijkt mij niet wederrechtelijk. Zeker niet als men deze functie dicht had kunnen zetten.

Tja, het ligt eraan hoe je het bekijkt, als een school een hal heeft, de deur in de hal zit opslot en de voordeur van de school die in de hal is is binnengebroken.
Toch is het dan inbraak.
En tuurlijk kan school het dicht zetten, maar dan creer je een onwerkelijke situatie.

Als de school snachts een deur openlaat staan, kan er ook ingebroken worden. Dan is de inbreker toch ook strafbaar bezig als die zich in het gebouw bevindt?

feit is dat hij de regels genegeerd heeft en daar (mis/ge)bruik van heeft gemaakt.
Waarschijnlijk heeft hij ook aan het begin van het schooljaar een document getekend over gebruik van de computers.


Op mijn school (Grafisch Lyceum Rotterdam) is het anders, iedereen heeft daar admin rechten op elke pc (in het ICT gedeelte)
Probeert iemand anders jou te hacken of te fucken (denk aan lanhelper of PSexec.exe ) Is het jou fout.
Je hebt admin rechten dus je kan het ook dichtzetten.

Hun flikkeren er ook software op dat na een reboot alle gemaakte instellingen weg zijn, en zetten je in een VLAN zodat je niet buiten het lokaal komt.
Dan ligt het puur aan je zelf of er misbruik wordt gemaakt van je pc ofniet.


Dus hoe was de situatie bevond hij zich in een "Pruts"lokaal of op het gewone netwerk?

Dat klopt.
Hier heeft de systeembeheerder iets verwijtbaar en ondeskundig doms gedaan en de scholier iets niet netjes slims.
De systeembeheerder heeft zitten spelen met de rechten. Vind je het gek dat de scholier daar gebruik van maakt?
vraag eerst maar eens of die beheerder wel is opgeleid voor zijn specifieke werk: denk het niet...

Ja, als je een deur openbreekt dan is het inbraak. Maar als de schooldeur openstaat, dan is het alleen lokaalvredebreuk. En als het binnenlopen onder schooltijd gebeurt, dan is het zelfs dat niet. Ik zie het als: de school liet een lokaal open, de scholier ging naar binnen en de school deed aangifte van inbraak. Goed, hij moest een haakje van de deur halen maar er is niets opengebroken. Is dat strafbaar? Belangrijker: moet je dan als school aangifte doen van een misdrijf? Of handel je dat beter intern af?

Het was het "gewone" netwerk. Of er een schoolreglement is, weet ik niet. Maar overtreding van zo'n reglement is geen misdrijf, daarvoor hoort de school de politie niet te bellen. Laat staan dat die met gevangenisstraf gaat dreigen - zeker nu zelfs echte crackers hooguit 120 uur werkstraf krijgen.

Je hebt nog niet verteld wat de intenties waren van je cliënt, maar iets zegt me dat je dat niet gaat doen...

Als het zou gaan om het installeren van free software die nodig is voor schoolwerk, dan vind ik aangifte doen absurd. Dat wordt iets minder als het om software gaat waarvoor een licentie vereist is, wordt het al wat lastiger. Het zou ook zo kunnen zijn dat jouw cliënt met zijn actie probeerde aan te tonen dat de computers onvoldoend beveiligd zijn: in dat geval hangt het ervan af of hij systeembeheer en de staf daar eerder op gewezen heeft of niet. Als het om het installeren van software gaat die niets met school te maken heeft (games bijv). dan is een flinke berisping op z'n plaats, maar geen aangifte. Echter, als het om kwaadaardige software gaat zoals een keylogger, spamsoftware, netwerksniffer en/of aanvalstool (met als doel toegang tot nog meer systemen te verkrijgen, bijv. om rapportcijfers te kunnen manipuleren) dan vind ik vervolging weer wel het overwegen waard.

Erg belangrijk vind ik daarnaast of je cliënt al eerder gewaarschuwd is, met name als het gaat om ongewenste activiteiten op de school PC's. Ik ken iemand die als vrijwilliger een tijd in een bibliotheek+computerzaal op een middelbare school gewerkt heeft, en van die persoon weet ik dat je de leerlingen die zich niet aan de regels houden (spelletjes spelen, porno kijken) er zo uit kunt pikken, en die worden daar dan ook voor berispt.

[color=green][off-topic-humor] Ik heb aan de eerder genoemde persoon wel eens een 1-april grap voorgesteld: kondig op school aan dat op 2 april dmv een DNA-test de oorspronkelijke eigenaren van kauwgum en pulken onder tafels en stoelen vastgesteld zal worden, en geef alle leerlingen de gelegenheid om die op 1 april zelf weg te halen...[/off-topic-humor][/color]

Je bent een goede advocaat (ik ga je onthouden ;) maar het wordt [url=http://technet.microsoft.com/en-us/library/cc722487.aspx#EIAA]onmogelijk[/url] geacht om PC's 100% te beveiligen waar je fysieke toegang tot hebt.

Zelf heb ik omstreeks 1999 in een universitaire omgeving PC's met NT4 dichtgetimmerd. Daar waren gebruikers (op een enkeling na) geen lid van de Administrators groep; promovendi die op hun "eigen" PC inlogden waren lid van Power Users, en verder was iedereen, ongeacht op welke PC men inlogde, lid van Users. Ik kan je wel vertellen dat ik me in allerlei kronkels heb moeten wringen om dit voor elkaar te krijgen. Bijv. m.b.t. de programmeertaal Delphi gaf Borland zelf aan dat het onmogelijk was om deze als non-admin te gebruiken; met truuks is het me toch gelukt. Voor verschillende programma's heb ik zelf "wrappers" geschreven die registrysettings en bestanden kopiëerden voor- en na het draaien van het betreffende programma om e.e.a. te laten werken. Zonder me op de borst te willen kloppen: dat is echt niet voor elke admin weggelegd, en ook lang niet iedereen krijgt daar de tijd voor. Bovendien: boot de PC vanaf een [url=http://www.knopper.net/]Knoppix[/url] CD en je kunt overal bij.

Geruime tijd vóór 1999 had een "lolige" student de passwd file van een Sun server (waarop de meeste groepsleden een account hadden, en waar in die tijd nog password-hashes in stonden) mee naar zijn studentenhuis genomen en daar gekraakt, en kwam dat vervolgens trots vertellen. Ja, de beveiliging kon beter want in latere Unix/Linux versies zijn die hashes vanuit uit de publiek-leesbare /etc/passwd file naar de niet-publiek-leesbare /etc/shadow file verhuisd. Nee, ik heb die student niet voor de rechter gesleept, maar hij heeft wel flink op z'n flikker gehad van de prof, en mocht alle groepsleden zijn excuses gaan aanbieden.

De makkelijkste weg is helaas toch vaak alle gebruikers wel lid maken van de groep Administrators en dan maar met policies (bijv. zorgen dat de permissie-instellingen-dialoogbox en het Start-Run menu niet getoond worden, dat regedit etc. niet gebruikt kan worden) en security by obscurity permissies aanpassen (bijv. alle leerlingen tevens lid maken van een groep Pupils en die deny-write rechten geven op de C: drive en de bekende subdirectories).

Kortom: het inzetten van de strafwet staat m.i. los van de eventuele "gebrekkige beveiliging".

[url=http://wetboek.net/Sr/138a.html?lxSID=03b75f360abdd439d9a1d738b9dabaea&lxCB=1238956924747]Artikel 138a[/url], punt 1 van 3:
Ik vrees dat er wel degelijk sprake is van het binnendringen in een deel van het systeem, namelijk dat deel waar jouw cliënt geen schrijfrechten had maar wel wilde hebben, en dat dit b. door een technische ingreep is gebeurd.

Kortom: strikt genomen heeft m.i. jouw cliënt de wet overtreden. Of de school het überhaupt tot een aangifte had moeten laten komen hangt af van de motieven van jouw cliënt, haar/zijn leeftijd, en de gekregen instructies en eventuele eerdere waarschuwingen.

Hij moest dringend een werkstuk downloaden en printen, maar had geen schrijfrechten op de PC waar hij zat. Het was de bedoeling dat je als scholier een USB-stick meeneemt, maar die was stuk. En ja, bij naderende deadlines ga je gekke dingen doen.

Die vind ik erg sterk en ik ga 'm onthouden voor volgend jaar.

Dat begrijp ik, maar het betekent niet dat elk uitoefenen van bepaalde meerrechten een strafbaar binnendringen is. Als je van mortal user naar administrator weet te komen, dan waarschijnlijk wel. Maar als ik dit verhaal goed begrijp, dan was hij al Administrator alleen stonden enkele mappen voor hem op slot. Hoe had hij anders dat AT commando mogen uitvoeren?

Niet elk ongewenst handelen is strafbaar.

Mits er een CD-ROM drive in zit en die in de boot sequence staat boven de HD en/of je in het BIOS dit kunt instellen. Met BIOS password, HD die altijd als eerste boot en een kast met een securitykabel eromheen (of in een afgesloten kastje) kom jij niet ver met je Knoppix-CD.

Je punt is duidelijk hoor, daar verder niet van. Ik wil gewoon graag weten wat er is gebeurd en of dat nu echt strafbaar binnendringen is. Als de school formeel gaat doen (in plaats van "ga het computerlokaal maar eens schoonmaken" of zo), dan doe ik dat ook.

Het probleem dat ik met die redenering heb, is dat je nu strafbaar bent op grond van de enkele wens van de beheerder dat iemand ergens niet mag komen. Goed, het idee van "beveiliging doorbreken" is inderdaad afgeschaft maar zo breed mag die strafwet toch niet zijn. Maar als jij de officier van justitie zou zijn, had ik een moeilijk verhaal :)

Beste Arnoud,
Gezien deze discussie in 2009 heeft plaatsgevonden ben ik erg benieuwd hoe het in dit specefieke geval is afgelopen.