Salte al quinto párrafo de la pregunta real, antes de eso hay algunos antecedentes.
Soy un estudiante de secundaria con un interés en computadoras y pruebas de penetración. Dadas las restricciones impuestas al acceso de nivel de estudiante en las computadoras de mi escuela, a menudo intento una escalada de privilegios para obtener un acceso más completo a los recursos que necesito (a veces relacionados con la escuela, pero no obstante restringidos). Aunque hago ese tipo de cosas con bastante frecuencia, nunca espero un gran éxito.
Hace un tiempo, me sorprendió descubrir una cuenta de administrador local sin contraseña, pero eso no proporcionaba acceso a nada a lo que ya no podía acceder, con la excepción de la unidad C: \ y herramientas como la Tarea Administrador y símbolo del sistema. En otras palabras: estaba lejos de ser un gran descubrimiento para mí.
Más recientemente, me topé con un tutorial de escalada de privilegios / postexplotación de seguridad difusa ( aquí ) que mencioné buscando datos confidenciales en archivos de configuración dejados por la configuración de escritorio automatizada. Sé por un poco de búsqueda que las 513 computadoras en la red de escuelas se han configurado de esta manera. Todavía me sorprendió encontrar la contraseña de administrador de red en texto sin formato en C: \ sysprep \ unattend.xml.
Desde que lo encontré, he investigado más a fondo qué se puede hacer. Las cosas que he encontrado van desde el acceso a todos los archivos de alumnos y maestros (que, en algunos casos, incluyen exámenes y claves de examen) hasta la conexión remota con el servidor de la escuela y el servidor del distrito para agregar usuarios como estudiantes, maestros, administradores y personal, y modifique los archivos de inicio de sesión de dichos usuarios para que ejecuten programas maliciosos cuando inicien sesión. Gran parte de esto lo he investigado, pero no he probado por temor a ser atrapado.
Mi pregunta es si debo informar o no al personal técnico de la escuela antes de que alguien que lo maltrate lo encuentre, y si es así, cómo hacerlo de una manera que no resulte en mi castigo. Mi preocupación es que si lo informo, la evidencia de mis exploraciones de las capacidades de administración de red les parecerá maliciosa. Quiero hacer lo correcto, pero preferiría no meterme en problemas si eso es lo que sucedería como resultado.