Passa al quinto paragrafo per la domanda vera e propria, prima che sia un po 'di background.
Sono uno studente del liceo interessato ai computer e ai test di penetrazione. Date le restrizioni imposte all'accesso a livello di studenti sui computer della mia scuola, spesso cerco di escalation dei privilegi per ottenere un accesso più completo alle risorse di cui ho bisogno (a volte scolastico, ma comunque limitato). Anche se faccio quel tipo di cose abbastanza spesso, non mi aspetto mai grandi successi.
Qualche tempo fa sono stato sorpreso a scoprire un account amministratore locale senza password, ma questo non ha consentito l'accesso a qualsiasi cosa non potessi già accedere, ad eccezione dell'unità C: \ e di strumenti come l'attività Manager e prompt dei comandi. In altre parole: era lontano da una grande scoperta per me.
Più recentemente, mi sono imbattuto in un'esercitazione di escalation post-exploitation / privilegio di Fuzzy Security ( qui ) che menzionava alla ricerca di dati sensibili nei file di configurazione lasciati da una configurazione desktop automatizzata. So da un bel po 'di ricerche che i 513 computer della rete scolastica sono stati impostati in questo modo. Ero ancora sorpreso di trovare la password dell'amministratore di rete in chiaro in C: \ sysprep \ unattend.xml.
Da quando l'ho trovato, ho ulteriormente studiato cosa si può fare. Le cose che ho trovato vanno dall'accesso a tutti i file degli studenti e degli insegnanti (che, in alcuni casi includono esami e chiavi d'esame) alla connessione remota al server scolastico e al server distrettuale per aggiungere utenti come studenti, insegnanti, amministratori e personale e modificare i file netlogon di detti utenti per far sì che eseguano programmi dannosi all'accesso. Molto di questo ho indagato ma non testato per paura di essere catturato.
La mia domanda è se dovrei dire o meno allo staff tecnico della scuola prima che qualcuno che abusi lo trovi e, in caso affermativo, come farlo in un modo che non porti alla mia punizione. La mia preoccupazione è che se lo denuncio, le prove delle mie esplorazioni sulle funzionalità di amministrazione di rete appariranno dannose per loro. Voglio fare la cosa giusta, ma preferirei non metterti nei guai se questo è ciò che accadrebbe di conseguenza.