Windows Local Privilege Escalation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Αν δεν ξέρετε τι είναι τα Windows Access Tokens, διαβάστε την παρακάτω σελίδα πριν συνεχίσετε:
Access TokensΔείτε την παρακάτω σελίδα για περισσότερες πληροφορίες σχετικά με τα ACLs - DACLs/SACLs/ACEs:
ACLs - DACLs/SACLs/ACEsΑν δεν ξέρετε τι είναι τα integrity levels στα Windows, θα πρέπει να διαβάσετε την παρακάτω σελίδα πριν συνεχίσετε:
Integrity LevelsΥπάρχουν διάφορα πράγματα στα Windows που θα μπορούσαν να σας εμποδίσουν να καταγράψετε το σύστημα, να εκτελέσετε εκτελέσιμα ή ακόμα και να ανιχνεύσουν τις δραστηριότητές σας. Θα πρέπει να διαβάσετε την παρακάτω σελίδα και να καταγράψετε όλους αυτούς τους μηχανισμούς άμυνας πριν ξεκινήσετε την καταγραφή της ανύψωσης προνομίων:
Windows Security ControlsΕλέγξτε αν η έκδοση των Windows έχει κάποια γνωστή ευπάθεια (ελέγξτε επίσης τα patches που έχουν εφαρμοστεί).
Αυτή η ιστοσελίδα είναι χρήσιμη για την αναζήτηση λεπτομερών πληροφοριών σχετικά με τις ευπάθειες ασφαλείας της Microsoft. Αυτή η βάση δεδομένων έχει περισσότερες από 4,700 ευπάθειες ασφαλείας, δείχνοντας την μαζική επιφάνεια επίθεσης που παρουσιάζει ένα περιβάλλον Windows.
Στο σύστημα
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
winpeas (Winpeas έχει ενσωματωμένο το watson)
Τοπικά με πληροφορίες συστήματος
Github repos των exploits:
Υπάρχουν διαπιστευτήρια/ζουμερές πληροφορίες αποθηκευμένες στις μεταβλητές περιβάλλοντος;
Μπορείτε να μάθετε πώς να το ενεργοποιήσετε στο https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
Οι λεπτομέρειες των εκτελέσεων της ροής PowerShell καταγράφονται, περιλαμβάνοντας εκτελούμενες εντολές, κλήσεις εντολών και μέρη σεναρίων. Ωστόσο, οι πλήρεις λεπτομέρειες εκτέλεσης και τα αποτελέσματα εξόδου ενδέχεται να μην καταγράφονται.
Για να το ενεργοποιήσετε, ακολουθήστε τις οδηγίες στην ενότητα "Transcript files" της τεκμηρίωσης, επιλέγοντας "Module Logging" αντί για "Powershell Transcription".
Για να δείτε τα τελευταία 15 γεγονότα από τα αρχεία καταγραφής του PowersShell, μπορείτε να εκτελέσετε:
Ένα πλήρες αρχείο δραστηριότητας και πλήρες περιεχόμενο της εκτέλεσης του script καταγράφεται, διασφαλίζοντας ότι κάθε μπλοκ κώδικα τεκμηριώνεται καθώς εκτελείται. Αυτή η διαδικασία διατηρεί ένα ολοκληρωμένο ίχνος ελέγχου κάθε δραστηριότητας, πολύτιμο για τη δικαστική ανάλυση και την ανάλυση κακόβουλης συμπεριφοράς. Με την τεκμηρίωση όλων των δραστηριοτήτων κατά τη διάρκεια της εκτέλεσης, παρέχονται λεπτομερείς πληροφορίες για τη διαδικασία.
Τα γεγονότα καταγραφής για το Script Block μπορούν να βρεθούν μέσα στον Windows Event Viewer στη διαδρομή: Application and Services Logs > Microsoft > Windows > PowerShell > Operational. Για να δείτε τα τελευταία 20 γεγονότα μπορείτε να χρησιμοποιήσετε:
Μπορείτε να παραβιάσετε το σύστημα αν οι ενημερώσεις δεν ζητούνται χρησιμοποιώντας httpS αλλά http.
Ξεκινάτε ελέγχοντας αν το δίκτυο χρησιμοποιεί μια ενημέρωση WSUS χωρίς SSL εκτελώντας το εξής:
Αν λάβετε μια απάντηση όπως:
And if HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
is equals to 1
.
Then, είναι εκμεταλλεύσιμο. If the last registry is equals to 0, then, the WSUS entry will be ignored.
In orther to exploit this vulnerabilities you can use tools like: Wsuxploit, pyWSUS - These are MiTM weaponized exploits scripts to inject 'fake' updates into non-SSL WSUS traffic.
Read the research here:
WSUS CVE-2020-1013
Διαβάστε την πλήρη αναφορά εδώ. Basically, this is the flaw that this bug exploits:
If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet Explorer’s settings, we therefore have the power to run PyWSUS locally to intercept our own traffic and run code as an elevated user on our asset.
Furthermore, since the WSUS service uses the current user’s settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current user’s certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service.
You can exploit this vulnerability using the tool WSUSpicious (once it's liberated).
A τοπική εκμετάλλευση προνομίων vulnerability exists in Windows domain environments under specific conditions. These conditions include environments where LDAP signing is not enforced, users possess self-rights allowing them to configure Resource-Based Constrained Delegation (RBCD), and the capability for users to create computers within the domain. It is important to note that these requirements are met using default settings.
Find the exploit in https://github.com/Dec0ne/KrbRelayUp
For more information about the flow of the attack check https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
Εάν these 2 registers are enabled (value is 0x1), then users of any privilege can install (execute) *.msi
files as NT AUTHORITY\SYSTEM.
Αν έχετε μια συνεδρία meterpreter, μπορείτε να αυτοματοποιήσετε αυτή την τεχνική χρησιμοποιώντας το module exploit/windows/local/always_install_elevated
Χρησιμοποιήστε την εντολή Write-UserAddMSI
από το power-up για να δημιουργήσετε μέσα στον τρέχοντα φάκελο ένα Windows MSI δυαδικό αρχείο για να κλιμακώσετε τα δικαιώματα. Αυτό το σενάριο γράφει έναν προcompiled MSI εγκαταστάτη που ζητάει προσθήκη χρήστη/ομάδας (έτσι θα χρειαστείτε πρόσβαση GIU):
Απλώς εκτελέστε το δημιουργημένο δυαδικό αρχείο για να κλιμακώσετε τα δικαιώματα.
Διαβάστε αυτό το εγχειρίδιο για να μάθετε πώς να δημιουργήσετε ένα MSI wrapper χρησιμοποιώντας αυτά τα εργαλεία. Σημειώστε ότι μπορείτε να τυλίξετε ένα ".bat" αρχείο αν απλώς θέλετε να εκτελέσετε γραμμές εντολών.
MSI WrapperΔημιουργήστε με το Cobalt Strike ή το Metasploit ένα νέο Windows EXE TCP payload στο C:\privesc\beacon.exe
Ανοίξτε το Visual Studio, επιλέξτε Δημιουργία νέου έργου και πληκτρολογήστε "installer" στο πλαίσιο αναζήτησης. Επιλέξτε το έργο Setup Wizard και κάντε κλικ στο Επόμενο.
Δώστε στο έργο ένα όνομα, όπως AlwaysPrivesc, χρησιμοποιήστε C:\privesc
για την τοποθεσία, επιλέξτε τοποθετήστε τη λύση και το έργο στον ίδιο φάκελο, και κάντε κλικ στο Δημιουργία.
Συνεχίστε να κάνετε κλικ στο Επόμενο μέχρι να φτάσετε στο βήμα 3 από 4 (επιλέξτε αρχεία προς συμπερίληψη). Κάντε κλικ στο Προσθήκη και επιλέξτε το Beacon payload που μόλις δημιουργήσατε. Στη συνέχεια, κάντε κλικ στο Τέλος.
Επισημάνετε το έργο AlwaysPrivesc στο Solution Explorer και στις Ιδιότητες, αλλάξτε το TargetPlatform από x86 σε x64.
Υπάρχουν άλλες ιδιότητες που μπορείτε να αλλάξετε, όπως ο Συγγραφέας και ο Κατασκευαστής που μπορούν να κάνουν την εγκατεστημένη εφαρμογή να φαίνεται πιο νόμιμη.
Κάντε δεξί κλικ στο έργο και επιλέξτε Προβολή > Προσαρμοσμένες Ενέργειες.
Κάντε δεξί κλικ στο Εγκατάσταση και επιλέξτε Προσθήκη Προσαρμοσμένης Ενέργειας.
Κάντε διπλό κλικ στο Φάκελος Εφαρμογής, επιλέξτε το αρχείο beacon.exe σας και κάντε κλικ στο OK. Αυτό θα διασφαλίσει ότι το beacon payload εκτελείται μόλις εκτελείται ο εγκαταστάτης.
Κάτω από τις Ιδιότητες Προσαρμοσμένης Ενέργειας, αλλάξτε το Run64Bit σε True.
Τέλος, κατασκευάστε το.
Αν εμφανιστεί η προειδοποίηση File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86'
, βεβαιωθείτε ότι έχετε ορίσει την πλατφόρμα σε x64.
Για να εκτελέσετε την εγκατάσταση του κακόβουλου αρχείου .msi
στο παρασκήνιο:
Για να εκμεταλλευτείτε αυτήν την ευπάθεια μπορείτε να χρησιμοποιήσετε: exploit/windows/local/always_install_elevated
Αυτές οι ρυθμίσεις αποφασίζουν τι καταγράφεται, οπότε θα πρέπει να δώσετε προσοχή
Η προώθηση συμβάντων των Windows είναι ενδιαφέρον να γνωρίζουμε πού αποστέλλονται τα αρχεία καταγραφής.
LAPS έχει σχεδιαστεί για τη διαχείριση των τοπικών κωδικών πρόσβασης διαχειριστή, διασφαλίζοντας ότι κάθε κωδικός είναι μοναδικός, τυχαίος και ενημερώνεται τακτικά σε υπολογιστές που είναι συνδεδεμένοι σε τομέα. Αυτοί οι κωδικοί αποθηκεύονται με ασφάλεια μέσα στο Active Directory και μπορούν να προσπελαστούν μόνο από χρήστες που έχουν λάβει επαρκείς άδειες μέσω ACLs, επιτρέποντάς τους να δουν τους τοπικούς κωδικούς πρόσβασης διαχειριστή αν είναι εξουσιοδοτημένοι.
LAPSΕάν είναι ενεργό, οι κωδικοί πρόσβασης σε απλό κείμενο αποθηκεύονται στο LSASS (Local Security Authority Subsystem Service). Περισσότερες πληροφορίες σχετικά με το WDigest σε αυτή τη σελίδα.
Αρχής γενομένης από το Windows 8.1, η Microsoft εισήγαγε ενισχυμένη προστασία για την Τοπική Αρχή Ασφαλείας (LSA) για να μπλοκάρει τις απόπειρες από μη αξιόπιστες διαδικασίες να διαβάσουν τη μνήμη της ή να εισάγουν κώδικα, ενισχύοντας περαιτέρω την ασφάλεια του συστήματος. Περισσότερες πληροφορίες σχετικά με την προστασία LSA εδώ.
Credential Guard εισήχθη στα Windows 10. Σκοπός του είναι να προστατεύει τα διαπιστευτήρια που αποθηκεύονται σε μια συσκευή από απειλές όπως οι επιθέσεις pass-the-hash.| Περισσότερες πληροφορίες σχετικά με το Credentials Guard εδώ.
Τα διαπιστευτήρια τομέα πιστοποιούνται από την Τοπική Αρχή Ασφαλείας (LSA) και χρησιμοποιούνται από τα συστατικά του λειτουργικού συστήματος. Όταν τα δεδομένα σύνδεσης ενός χρήστη πιστοποιούνται από ένα καταχωρημένο πακέτο ασφαλείας, τα διαπιστευτήρια τομέα για τον χρήστη συνήθως καθορίζονται. Περισσότερες πληροφορίες σχετικά με τα Cached Credentials εδώ.
Πρέπει να ελέγξετε αν κάποια από τις ομάδες στις οποίες ανήκετε έχουν ενδιαφέροντα δικαιώματα
Αν ανήκεις σε κάποια προνομιούχα ομάδα μπορεί να είσαι σε θέση να κλιμακώσεις τα προνόμια. Μάθε για τις προνομιούχες ομάδες και πώς να τις εκμεταλλευτείς για να κλιμακώσεις τα προνόμια εδώ:
Privileged GroupsΜάθε περισσότερα για το τι είναι ένα token σε αυτή τη σελίδα: Windows Tokens. Δες την παρακάτω σελίδα για να μάθεις για ενδιαφέροντα tokens και πώς να τα εκμεταλλευτείς:
Abusing TokensΠρώτα απ' όλα, καταγράψτε τις διαδικασίες ελέγξτε για κωδικούς πρόσβασης μέσα στη γραμμή εντολών της διαδικασίας. Ελέγξτε αν μπορείτε να επικαλύψετε κάποιο εκτελέσιμο που τρέχει ή αν έχετε δικαιώματα εγγραφής στον φάκελο εκτελέσιμων για να εκμεταλλευτείτε πιθανές DLL Hijacking attacks:
Πάντα να ελέγχετε για πιθανές electron/cef/chromium debuggers που εκτελούνται, μπορείτε να το εκμεταλλευτείτε για να κερδίσετε δικαιώματα**.
Έλεγχος δικαιωμάτων των δυαδικών αρχείων των διαδικασιών
Έλεγχος δικαιωμάτων των φακέλων των δυαδικών αρχείων διεργασιών (DLL Hijacking)
Μπορείτε να δημιουργήσετε μια απόθεση μνήμης μιας εκτελούμενης διαδικασίας χρησιμοποιώντας το procdump από το sysinternals. Υπηρεσίες όπως το FTP έχουν τα credentials σε καθαρό κείμενο στη μνήμη, προσπαθήστε να αποθέσετε τη μνήμη και να διαβάσετε τα credentials.
Εφαρμογές που εκτελούνται ως SYSTEM μπορεί να επιτρέψουν σε έναν χρήστη να ανοίξει ένα CMD ή να περιηγηθεί σε καταλόγους.
Example: "Windows Help and Support" (Windows + F1), search for "command prompt", click on "Click to open Command Prompt"
Get a list of services:
Μπορείτε να χρησιμοποιήσετε sc για να αποκτήσετε πληροφορίες σχετικά με μια υπηρεσία
Συνιστάται να έχετε το δυαδικό accesschk από το Sysinternals για να ελέγξετε το απαιτούμενο επίπεδο δικαιωμάτων για κάθε υπηρεσία.
Συνιστάται να ελέγξετε αν οι "Επικυρωμένοι Χρήστες" μπορούν να τροποποιήσουν οποιαδήποτε υπηρεσία:
Μπορείτε να κατεβάσετε το accesschk.exe για XP από εδώ
Αν έχετε αυτό το σφάλμα (για παράδειγμα με το SSDPSRV):
Σφάλμα συστήματος 1058 έχει συμβεί. &#xNAN;Tη υπηρεσία δεν μπορεί να ξεκινήσει, είτε επειδή είναι απενεργοποιημένη είτε επειδή δεν έχει ενεργοποιημένες συσκευές που σχετίζονται με αυτήν.
Μπορείτε να την ενεργοποιήσετε χρησιμοποιώντας
Λάβετε υπόψη ότι η υπηρεσία upnphost εξαρτάται από το SSDPSRV για να λειτουργήσει (για XP SP1)
Μια άλλη λύση σε αυτό το πρόβλημα είναι η εκτέλεση:
Στο σενάριο όπου η ομάδα "Authenticated users" διαθέτει SERVICE_ALL_ACCESS σε μια υπηρεσία, είναι δυνατή η τροποποίηση του εκτελέσιμου δυαδικού αρχείου της υπηρεσίας. Για να τροποποιήσετε και να εκτελέσετε sc:
Privileges can be escalated through various permissions:
SERVICE_CHANGE_CONFIG: Επιτρέπει την επαναδιαμόρφωση του δυαδικού αρχείου της υπηρεσίας.
WRITE_DAC: Ενεργοποιεί την επαναδιαμόρφωση των δικαιωμάτων, οδηγώντας στην ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
WRITE_OWNER: Επιτρέπει την απόκτηση ιδιοκτησίας και την επαναδιαμόρφωση των δικαιωμάτων.
GENERIC_WRITE: Κληρονομεί την ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
GENERIC_ALL: Κληρονομεί επίσης την ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
For the detection and exploitation of this vulnerability, the exploit/windows/local/service_permissions can be utilized.
Check if you can modify the binary that is executed by a service or if you have write permissions on the folder where the binary is located (DLL Hijacking). You can get every binary that is executed by a service using wmic (not in system32) and check your permissions using icacls:
Μπορείτε επίσης να χρησιμοποιήσετε sc και icacls:
Πρέπει να ελέγξετε αν μπορείτε να τροποποιήσετε οποιοδήποτε μητρώο υπηρεσίας. Μπορείτε να ελέγξετε τα δικαιώματά σας πάνω σε ένα μητρώο υπηρεσίας κάνοντας:
Πρέπει να ελεγχθεί αν οι Authenticated Users ή οι NT AUTHORITY\INTERACTIVE διαθέτουν δικαιώματα FullControl
. Αν ναι, το δυαδικό αρχείο που εκτελείται από την υπηρεσία μπορεί να τροποποιηθεί.
Για να αλλάξετε τη διαδρομή του δυαδικού αρχείου που εκτελείται:
Αν έχετε αυτή την άδεια σε ένα μητρώο, αυτό σημαίνει ότι μπορείτε να δημιουργήσετε υπομητρώα από αυτό. Στην περίπτωση των υπηρεσιών Windows, αυτό είναι αρκετό για να εκτελέσετε αυθαίρετο κώδικα:
AppendData/AddSubdirectory permission over service registryΑν η διαδρομή προς ένα εκτελέσιμο δεν είναι μέσα σε εισαγωγικά, τα Windows θα προσπαθήσουν να εκτελέσουν κάθε τερματισμό πριν από ένα κενό.
Για παράδειγμα, για τη διαδρομή C:\Program Files\Some Folder\Service.exe τα Windows θα προσπαθήσουν να εκτελέσουν:
Λίστα όλων των μη παρατεθειμένων διαδρομών υπηρεσιών, εξαιρώντας αυτές που ανήκουν σε ενσωματωμένες υπηρεσίες των Windows:
Μπορείτε να ανιχνεύσετε και να εκμεταλλευτείτε αυτήν την ευπάθεια με το metasploit: exploit/windows/local/trusted\_service\_path
Μπορείτε να δημιουργήσετε χειροκίνητα ένα δυαδικό αρχείο υπηρεσίας με το metasploit:
Τα Windows επιτρέπουν στους χρήστες να καθορίσουν ενέργειες που θα ληφθούν εάν μια υπηρεσία αποτύχει. Αυτή η δυνατότητα μπορεί να ρυθμιστεί ώστε να δείχνει σε ένα δυαδικό αρχείο. Εάν αυτό το δυαδικό αρχείο είναι αντικαταστάσιμο, μπορεί να είναι δυνατή η κλιμάκωση δικαιωμάτων. Περισσότερες λεπτομέρειες μπορούν να βρεθούν στην επίσημη τεκμηρίωση.
Ελέγξτε τα δικαιώματα των δυαδικών αρχείων (ίσως μπορείτε να αντικαταστήσετε ένα και να κλιμακώσετε τα δικαιώματα) και των φακέλων (DLL Hijacking).
Έλεγξε αν μπορείς να τροποποιήσεις κάποιο αρχείο ρυθμίσεων για να διαβάσεις κάποιο ειδικό αρχείο ή αν μπορείς να τροποποιήσεις κάποιο δυαδικό αρχείο που πρόκειται να εκτελεστεί από έναν λογαριασμό Διαχειριστή (schedtasks).
Ένας τρόπος για να βρεις αδύναμα δικαιώματα φακέλων/αρχείων στο σύστημα είναι να κάνεις:
Ελέγξτε αν μπορείτε να αντικαταστήσετε κάποιο μητρώο ή δυαδικό αρχείο που πρόκειται να εκτελεστεί από διαφορετικό χρήστη. Διαβάστε την παρακάτω σελίδα για να μάθετε περισσότερα σχετικά με ενδιαφέροντα σημεία autoruns για την κλιμάκωση δικαιωμάτων:
Privilege Escalation with AutorunsΑναζητήστε πιθανούς τρίτους παράξενους/ευάλωτους οδηγούς
Αν έχετε δικαιώματα εγγραφής μέσα σε έναν φάκελο που είναι παρών στο PATH θα μπορούσατε να είστε σε θέση να υποκλέψετε μια DLL που φορτώνεται από μια διαδικασία και να κλιμακώσετε τα δικαιώματα.
Ελέγξτε τα δικαιώματα όλων των φακέλων μέσα στο PATH:
Για περισσότερες πληροφορίες σχετικά με το πώς να εκμεταλλευτείτε αυτόν τον έλεγχο:
Writable Sys Path +Dll Hijacking PrivescΕλέγξτε για άλλους γνωστούς υπολογιστές που είναι σκληρά κωδικοποιημένοι στο αρχείο hosts
Ελέγξτε για περιορισμένες υπηρεσίες από το εξωτερικό
Ελέγξτε αυτή τη σελίδα για εντολές σχετικές με το Τείχος Προστασίας (λίστα κανόνων, δημιουργία κανόνων, απενεργοποίηση, απενεργοποίηση...)
Περισσότερες εντολές για την αναγνώριση δικτύου εδώ
Binary bash.exe
μπορεί επίσης να βρεθεί στο C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe
Αν αποκτήσεις δικαιώματα root, μπορείς να ακούς σε οποιαδήποτε θύρα (την πρώτη φορά που θα χρησιμοποιήσεις το nc.exe
για να ακούσεις σε μια θύρα, θα ρωτήσει μέσω GUI αν πρέπει να επιτραπεί το nc
από το firewall).
Για να ξεκινήσετε εύκολα το bash ως root, μπορείτε να δοκιμάσετε --default-user root
Μπορείτε να εξερευνήσετε το σύστημα αρχείων WSL
στον φάκελο C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\
Από https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault Το Windows Vault αποθηκεύει τα διαπιστευτήρια χρηστών για διακομιστές, ιστοσελίδες και άλλα προγράμματα που Windows μπορεί να συνδέσει αυτόματα τους χρήστες. Στην πρώτη περίπτωση, αυτό μπορεί να φαίνεται ότι οι χρήστες μπορούν να αποθηκεύσουν τα διαπιστευτήρια τους για το Facebook, τα διαπιστευτήρια του Twitter, τα διαπιστευτήρια του Gmail κ.λπ., έτσι ώστε να συνδέονται αυτόματα μέσω των προγραμμάτων περιήγησης. Αλλά δεν είναι έτσι.
Το Windows Vault αποθηκεύει διαπιστευτήρια που το Windows μπορεί να συνδέσει αυτόματα τους χρήστες, που σημαίνει ότι οποιαδήποτε εφαρμογή Windows που χρειάζεται διαπιστευτήρια για να αποκτήσει πρόσβαση σε μια πηγή (διακομιστής ή ιστοσελίδα) μπορεί να χρησιμοποιήσει αυτόν τον Διαχειριστή Διαπιστευτηρίων & Windows Vault και να χρησιμοποιήσει τα διαπιστευτήρια που παρέχονται αντί να εισάγουν οι χρήστες το όνομα χρήστη και τον κωδικό πρόσβασης όλη την ώρα.
Εκτός αν οι εφαρμογές αλληλεπιδρούν με τον Διαχειριστή Διαπιστευτηρίων, δεν νομίζω ότι είναι δυνατόν να χρησιμοποιήσουν τα διαπιστευτήρια για μια δεδομένη πηγή. Έτσι, αν η εφαρμογή σας θέλει να χρησιμοποιήσει το vault, θα πρέπει κάπως να επικοινωνήσει με τον διαχειριστή διαπιστευτηρίων και να ζητήσει τα διαπιστευτήρια για αυτήν την πηγή από το προεπιλεγμένο αποθηκευτικό vault.
Χρησιμοποιήστε το cmdkey
για να καταγράψετε τα αποθηκευμένα διαπιστευτήρια στη μηχανή.
Τότε μπορείτε να χρησιμοποιήσετε το runas
με την επιλογή /savecred
προκειμένου να χρησιμοποιήσετε τα αποθηκευμένα διαπιστευτήρια. Το παρακάτω παράδειγμα καλεί ένα απομακρυσμένο δυαδικό μέσω ενός SMB share.
Χρησιμοποιώντας το runas
με ένα παρεχόμενο σύνολο διαπιστευτηρίων.
Σημειώστε ότι το mimikatz, lazagne, credentialfileview, VaultPasswordView, ή από το Empire Powershells module.
Η API Προστασίας Δεδομένων (DPAPI) παρέχει μια μέθοδο για συμμετρική κρυπτογράφηση δεδομένων, κυρίως χρησιμοποιούμενη μέσα στο λειτουργικό σύστημα Windows για τη συμμετρική κρυπτογράφηση ασύμμετρων ιδιωτικών κλειδιών. Αυτή η κρυπτογράφηση εκμεταλλεύεται ένα μυστικό χρήστη ή συστήματος για να συμβάλλει σημαντικά στην εντροπία.
Η DPAPI επιτρέπει την κρυπτογράφηση κλειδιών μέσω ενός συμμετρικού κλειδιού που προέρχεται από τα μυστικά σύνδεσης του χρήστη. Σε σενάρια που περιλαμβάνουν κρυπτογράφηση συστήματος, χρησιμοποιεί τα μυστικά αυθεντικοποίησης του τομέα του συστήματος.
Τα κρυπτογραφημένα κλειδιά RSA χρηστών, χρησιμοποιώντας την DPAPI, αποθηκεύονται στον φάκελο %APPDATA%\Microsoft\Protect\{SID}
, όπου το {SID}
αντιπροσωπεύει τον Αναγνωριστή Ασφαλείας του χρήστη. Το κλειδί DPAPI, που βρίσκεται μαζί με το κύριο κλειδί που προστατεύει τα ιδιωτικά κλειδιά του χρήστη στο ίδιο αρχείο, συνήθως αποτελείται από 64 byte τυχαίων δεδομένων. (Είναι σημαντικό να σημειωθεί ότι η πρόσβαση σε αυτόν τον φάκελο είναι περιορισμένη, αποτρέποντας την καταγραφή του περιεχομένου του μέσω της εντολής dir
στο CMD, αν και μπορεί να καταγραφεί μέσω του PowerShell).
Μπορείτε να χρησιμοποιήσετε το mimikatz module dpapi::masterkey
με τα κατάλληλα επιχειρήματα (/pvk
ή /rpc
) για να το αποκρυπτογραφήσετε.
Τα αρχεία διαπιστευτηρίων που προστατεύονται από τον κύριο κωδικό πρόσβασης βρίσκονται συνήθως σε:
Μπορείτε να χρησιμοποιήσετε το mimikatz module dpapi::cred
με το κατάλληλο /masterkey
για να αποκρυπτογραφήσετε.
Μπορείτε να εξάγετε πολλές DPAPI masterkeys από τη μνήμη με το module sekurlsa::dpapi
(αν είστε root).
Διαπιστευτήρια PowerShell χρησιμοποιούνται συχνά για σενάρια και αυτοματοποιημένες εργασίες ως τρόπος αποθήκευσης κρυπτογραφημένων διαπιστευτηρίων με ευκολία. Τα διαπιστευτήρια προστατεύονται χρησιμοποιώντας DPAPI, που σημαίνει συνήθως ότι μπορούν να αποκρυπτογραφηθούν μόνο από τον ίδιο χρήστη στον ίδιο υπολογιστή στον οποίο δημιουργήθηκαν.
Για να αποκρυπτογραφήσετε ένα PS διαπιστευτήριο από το αρχείο που το περιέχει, μπορείτε να κάνετε:
Μπορείτε να τις βρείτε στο HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
και στο HKCU\Software\Microsoft\Terminal Server Client\Servers\
Use the Mimikatz dpapi::rdg
module with appropriate /masterkey
to decrypt any .rdg files
You can extract many DPAPI masterkeys from memory with the Mimikatz sekurlsa::dpapi
module
Οι άνθρωποι συχνά χρησιμοποιούν την εφαρμογή StickyNotes σε υπολογιστές Windows για να αποθηκεύσουν κωδικούς πρόσβασης και άλλες πληροφορίες, χωρίς να συνειδητοποιούν ότι είναι ένα αρχείο βάσης δεδομένων. Αυτό το αρχείο βρίσκεται στο C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite
και αξίζει πάντα να το αναζητήσετε και να το εξετάσετε.
Σημειώστε ότι για να ανακτήσετε κωδικούς πρόσβασης από το AppCmd.exe πρέπει να είστε Διαχειριστής και να εκτελείτε υπό υψηλό επίπεδο ακεραιότητας.
AppCmd.exe βρίσκεται στον κατάλογο %systemroot%\system32\inetsrv\
.
Εάν αυτό το αρχείο υπάρχει, τότε είναι πιθανό ότι έχουν ρυθμιστεί κάποια credentials και μπορούν να ανακτηθούν.
This code was extracted from PowerUP:
Ελέγξτε αν υπάρχει το C:\Windows\CCM\SCClient.exe
.
Οι εγκαταστάτες εκτελούνται με δικαιώματα SYSTEM, πολλοί είναι ευάλωτοι σε DLL Sideloading (Πληροφορίες από https://github.com/enjoiz/Privesc).
Τα ιδιωτικά κλειδιά SSH μπορούν να αποθηκευτούν μέσα στο κλειδί μητρώου HKCU\Software\OpenSSH\Agent\Keys
, οπότε θα πρέπει να ελέγξετε αν υπάρχει κάτι ενδιαφέρον εκεί:
Αν βρείτε οποιαδήποτε είσοδο μέσα σε αυτήν την διαδρομή, πιθανότατα θα είναι ένα αποθηκευμένο κλειδί SSH. Αποθηκεύεται κρυπτογραφημένο αλλά μπορεί να αποκρυπτογραφηθεί εύκολα χρησιμοποιώντας https://github.com/ropnop/windows_sshagent_extract. Περισσότερες πληροφορίες σχετικά με αυτήν την τεχνική εδώ: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Αν η υπηρεσία ssh-agent
δεν εκτελείται και θέλετε να ξεκινά αυτόματα κατά την εκκίνηση, εκτελέστε:
Φαίνεται ότι αυτή η τεχνική δεν είναι πλέον έγκυρη. Προσπάθησα να δημιουργήσω μερικά ssh keys, να τα προσθέσω με το ssh-add
και να συνδεθώ μέσω ssh σε μια μηχανή. Η καταχώρηση HKCU\Software\OpenSSH\Agent\Keys δεν υπάρχει και το procmon δεν εντόπισε τη χρήση του dpapi.dll
κατά τη διάρκεια της ασύμμετρης αυθεντικοποίησης κλειδιού.
Μπορείτε επίσης να αναζητήσετε αυτά τα αρχεία χρησιμοποιώντας metasploit: post/windows/gather/enum_unattend
Παράδειγμα περιεχομένου:
Αναζητήστε ένα αρχείο που ονομάζεται SiteList.xml
Μια δυνατότητα ήταν προηγουμένως διαθέσιμη που επέτρεπε την ανάπτυξη προσαρμοσμένων τοπικών λογαριασμών διαχειριστή σε μια ομάδα μηχανημάτων μέσω των Προτιμήσεων Πολιτικής Ομάδας (GPP). Ωστόσο, αυτή η μέθοδος είχε σημαντικά κενά ασφαλείας. Πρώτον, τα Αντικείμενα Πολιτικής Ομάδας (GPOs), που αποθηκεύονται ως αρχεία XML στο SYSVOL, μπορούσαν να προσπελαστούν από οποιονδήποτε χρήστη τομέα. Δεύτερον, οι κωδικοί πρόσβασης μέσα σε αυτά τα GPPs, κρυπτογραφημένοι με AES256 χρησιμοποιώντας ένα δημόσια τεκμηριωμένο προεπιλεγμένο κλειδί, μπορούσαν να αποκρυπτογραφηθούν από οποιονδήποτε πιστοποιημένο χρήστη. Αυτό συνιστούσε σοβαρό κίνδυνο, καθώς θα μπορούσε να επιτρέψει στους χρήστες να αποκτήσουν ανυψωμένα δικαιώματα.
Για να μετριαστεί αυτός ο κίνδυνος, αναπτύχθηκε μια λειτουργία για να σαρώσει τα τοπικά κρυπτογραφημένα αρχεία GPP που περιέχουν ένα πεδίο "cpassword" που δεν είναι κενό. Όταν βρεθεί ένα τέτοιο αρχείο, η λειτουργία αποκρυπτογραφεί τον κωδικό πρόσβασης και επιστρέφει ένα προσαρμοσμένο αντικείμενο PowerShell. Αυτό το αντικείμενο περιλαμβάνει λεπτομέρειες σχετικά με το GPP και την τοποθεσία του αρχείου, βοηθώντας στην αναγνώριση και αποκατάσταση αυτής της ευπάθειας ασφαλείας.
Αναζητήστε στο C:\ProgramData\Microsoft\Group Policy\history
ή στο C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (προτού το W Vista) για αυτά τα αρχεία:
Groups.xml
Services.xml
Scheduledtasks.xml
DataSources.xml
Printers.xml
Drives.xml
Για να αποκρυπτογραφήσετε το cPassword:
Χρησιμοποιώντας το crackmapexec για να αποκτήσετε τους κωδικούς πρόσβασης:
Παράδειγμα του web.config με διαπιστευτήρια:
Μπορείτε πάντα να ζητήσετε από τον χρήστη να εισάγει τα διαπιστευτήριά του ή ακόμη και τα διαπιστευτήρια ενός διαφορετικού χρήστη αν νομίζετε ότι μπορεί να τα γνωρίζει (σημειώστε ότι η απευθείας ζήτηση από τον πελάτη για τα διαπιστευτήρια είναι πραγματικά επικίνδυνη):
Γνωστά αρχεία που κάποτε περιείχαν κωδικούς πρόσβασης σε καθαρό κείμενο ή Base64
Αναζητήστε όλα τα προτεινόμενα αρχεία:
Πρέπει επίσης να ελέγξετε τον Κάδο για να αναζητήσετε διαπιστευτήρια μέσα σε αυτόν
Για να ανακτήσετε κωδικούς πρόσβασης που έχουν αποθηκευτεί από διάφορα προγράμματα μπορείτε να χρησιμοποιήσετε: http://www.nirsoft.net/password_recovery_tools.html
Άλλες πιθανές κλειδαριές μητρώου με διαπιστευτήρια
Εξαγωγή κλειδιών openssh από το μητρώο.
Πρέπει να ελέγξετε για βάσεις δεδομένων όπου αποθηκεύονται οι κωδικοί πρόσβασης από Chrome ή Firefox. Επίσης, ελέγξτε την ιστορία, τα σελιδοδείκτες και τα αγαπημένα των περιηγητών ώστε ίσως να υπάρχουν αποθηκευμένοι κάποιοι κωδικοί πρόσβασης εκεί.
Εργαλεία για την εξαγωγή κωδικών πρόσβασης από περιηγητές:
Mimikatz: dpapi::chrome
Το Component Object Model (COM) είναι μια τεχνολογία που έχει ενσωματωθεί στο λειτουργικό σύστημα Windows και επιτρέπει την διασύνδεση μεταξύ λογισμικών συστατικών διαφορετικών γλωσσών. Κάθε συστατικό COM αναγνωρίζεται μέσω ενός ID κλάσης (CLSID) και κάθε συστατικό εκθέτει λειτουργικότητα μέσω ενός ή περισσότερων διεπαφών, που αναγνωρίζονται μέσω ID διεπαφών (IIDs).
Οι κλάσεις και οι διεπαφές COM ορίζονται στο μητρώο κάτω από HKEY_CLASSES_ROOT\CLSID και HKEY_CLASSES_ROOT\Interface αντίστοιχα. Αυτό το μητρώο δημιουργείται συγχωνεύοντας το HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT.
Μέσα στους CLSIDs αυτού του μητρώου μπορείτε να βρείτε το υπομητρώο InProcServer32 που περιέχει μια προεπιλεγμένη τιμή που δείχνει σε μια DLL και μια τιμή που ονομάζεται ThreadingModel που μπορεί να είναι Apartment (Μονονηματική), Free (Πολυνηματική), Both (Μονοή Πολυνηματική) ή Neutral (Ουδέτερη Νημάτωση).
Βασικά, αν μπορείτε να επικαλύψετε οποιαδήποτε από τις DLLs που πρόκειται να εκτελούνται, θα μπορούσατε να κλιμακώσετε τα δικαιώματα αν αυτή η DLL πρόκειται να εκτελεστεί από διαφορετικό χρήστη.
Για να μάθετε πώς οι επιτιθέμενοι χρησιμοποιούν την εκμετάλλευση COM ως μηχανισμό επιμονής, ελέγξτε:
COM HijackingΑναζητήστε περιεχόμενα αρχείων
Αναζητήστε ένα αρχείο με συγκεκριμένο όνομα αρχείου
Αναζητήστε τη μητρώο για ονόματα κλειδιών και κωδικούς πρόσβασης
MSF-Credentials Plugin είναι ένα msf plugin που έχω δημιουργήσει αυτό το plugin για να εκτελεί αυτόματα κάθε metasploit POST module που αναζητά κωδικούς πρόσβασης μέσα στον θύμα. Winpeas αναζητά αυτόματα όλα τα αρχεία που περιέχουν κωδικούς πρόσβασης που αναφέρονται σε αυτή τη σελίδα. Lazagne είναι ένα άλλο εξαιρετικό εργαλείο για την εξαγωγή κωδικών πρόσβασης από ένα σύστημα.
Το εργαλείο SessionGopher αναζητά συνεδρίες, ονόματα χρηστών και κωδικούς πρόσβασης διαφόρων εργαλείων που αποθηκεύουν αυτά τα δεδομένα σε καθαρό κείμενο (PuTTY, WinSCP, FileZilla, SuperPuTTY, και RDP)
Φανταστείτε ότι μια διαδικασία που εκτελείται ως SYSTEM ανοίγει μια νέα διαδικασία (OpenProcess()
) με πλήρη πρόσβαση. Η ίδια διαδικασία δημιουργεί επίσης μια νέα διαδικασία (CreateProcess()
) με χαμηλά δικαιώματα αλλά κληρονομεί όλα τα ανοιχτά handles της κύριας διαδικασίας.
Έτσι, αν έχετε πλήρη πρόσβαση στη διαδικασία με χαμηλά δικαιώματα, μπορείτε να αποκτήσετε το ανοιχτό handle στη διαδικασία με δικαιώματα που δημιουργήθηκε με OpenProcess()
και να εισάγετε ένα shellcode.
Διαβάστε αυτό το παράδειγμα για περισσότερες πληροφορίες σχετικά με το πώς να ανιχνεύσετε και να εκμεταλλευτείτε αυτήν την ευπάθεια.
Διαβάστε αυτήν την άλλη ανάρτηση για μια πιο ολοκληρωμένη εξήγηση σχετικά με το πώς να δοκιμάσετε και να εκμεταλλευτείτε περισσότερα ανοιχτά handles διαδικασιών και νημάτων που κληρονομούνται με διαφορετικά επίπεδα δικαιωμάτων (όχι μόνο πλήρη πρόσβαση).
Τα τμήματα κοινής μνήμης, που αναφέρονται ως pipes, επιτρέπουν την επικοινωνία διαδικασιών και τη μεταφορά δεδομένων.
Τα Windows παρέχουν μια δυνατότητα που ονομάζεται Named Pipes, επιτρέποντας σε άσχετες διαδικασίες να μοιράζονται δεδομένα, ακόμη και μέσω διαφορετικών δικτύων. Αυτό μοιάζει με μια αρχιτεκτονική πελάτη/διακομιστή, με ρόλους που ορίζονται ως named pipe server και named pipe client.
Όταν δεδομένα αποστέλλονται μέσω ενός pipe από έναν πελάτη, ο διακομιστής που έχει ρυθμίσει το pipe έχει τη δυνατότητα να αναλάβει την ταυτότητα του πελάτη, εφόσον έχει τα απαραίτητα SeImpersonate δικαιώματα. Η αναγνώριση μιας προνομιακής διαδικασίας που επικοινωνεί μέσω ενός pipe που μπορείτε να μιμηθείτε παρέχει μια ευκαιρία να κερδίσετε υψηλότερα δικαιώματα υιοθετώντας την ταυτότητα αυτής της διαδικασίας μόλις αλληλεπιδράσει με το pipe που δημιουργήσατε. Για οδηγίες σχετικά με την εκτέλεση μιας τέτοιας επίθεσης, μπορείτε να βρείτε χρήσιμους οδηγούς εδώ και εδώ.
Επίσης, το παρακάτω εργαλείο επιτρέπει να παρεμβάλετε μια επικοινωνία named pipe με ένα εργαλείο όπως το burp: https://github.com/gabriel-sztejnworcel/pipe-intercept και αυτό το εργαλείο επιτρέπει να καταγράφετε και να βλέπετε όλα τα pipes για να βρείτε privescs https://github.com/cyberark/PipeViewer
Όταν αποκτάτε ένα shell ως χρήστης, μπορεί να υπάρχουν προγραμματισμένα καθήκοντα ή άλλες διαδικασίες που εκτελούνται και περνούν διαπιστευτήρια στη γραμμή εντολών. Το παρακάτω σενάριο καταγράφει τις γραμμές εντολών διαδικασιών κάθε δύο δευτερόλεπτα και συγκρίνει την τρέχουσα κατάσταση με την προηγούμενη κατάσταση, εξάγοντας τυχόν διαφορές.
Εάν έχετε πρόσβαση στη γραφική διεπαφή (μέσω κονσόλας ή RDP) και η UAC είναι ενεργοποιημένη, σε ορισμένες εκδόσεις των Microsoft Windows είναι δυνατή η εκτέλεση ενός τερματικού ή οποιασδήποτε άλλης διεργασίας όπως "NT\AUTHORITY SYSTEM" από έναν χρήστη χωρίς προνόμια.
Αυτό καθιστά δυνατή την κλιμάκωση προνομίων και την παράκαμψη της UAC ταυτόχρονα με την ίδια ευπάθεια. Επιπλέον, δεν υπάρχει ανάγκη εγκατάστασης οτιδήποτε και το δυαδικό αρχείο που χρησιμοποιείται κατά τη διάρκεια της διαδικασίας είναι υπογεγραμμένο και εκδοθέν από τη Microsoft.
Ορισμένα από τα επηρεαζόμενα συστήματα είναι τα εξής:
Για να εκμεταλλευτείτε αυτήν την ευπάθεια, είναι απαραίτητο να εκτελέσετε τα εξής βήματα:
Έχετε όλα τα απαραίτητα αρχεία και πληροφορίες στο παρακάτω αποθετήριο GitHub:
https://github.com/jas502n/CVE-2019-1388
Διαβάστε αυτό για να μάθετε για τα Επίπεδα Ακεραιότητας:
Integrity LevelsΣτη συνέχεια διαβάστε αυτό για να μάθετε για το UAC και τις παρακάμψεις UAC:
UAC - User Account ControlΕάν ήδη εκτελείτε σε μια διαδικασία Υψηλής Ακεραιότητας, η μετάβαση σε SYSTEM μπορεί να είναι εύκολη απλά δημιουργώντας και εκτελώντας μια νέα υπηρεσία:
Από μια διαδικασία Υψηλής Ακεραιότητας, μπορείτε να ενεργοποιήσετε τις καταχωρίσεις μητρώου AlwaysInstallElevated και να εγκαταστήσετε ένα reverse shell χρησιμοποιώντας ένα .msi wrapper. Περισσότερες πληροφορίες σχετικά με τα κλειδιά μητρώου που εμπλέκονται και πώς να εγκαταστήσετε ένα .msi πακέτο εδώ.
Μπορείτε να βρείτε τον κώδικα εδώ.
Εάν έχετε αυτές τις προνόμια token (πιθανώς θα το βρείτε σε μια ήδη Υψηλής Ακεραιότητας διαδικασία), θα μπορείτε να ανοίξετε σχεδόν οποιαδήποτε διαδικασία (όχι προστατευμένες διαδικασίες) με το προνόμιο SeDebug, να αντιγράψετε το token της διαδικασίας και να δημιουργήσετε μια τυχαία διαδικασία με αυτό το token. Η χρήση αυτής της τεχνικής συνήθως επιλέγει οποιαδήποτε διαδικασία που εκτελείται ως SYSTEM με όλα τα προνόμια token (ναι, μπορείτε να βρείτε διαδικασίες SYSTEM χωρίς όλα τα προνόμια token). Μπορείτε να βρείτε ένα παράδειγμα κώδικα που εκτελεί την προτεινόμενη τεχνική εδώ.
Αυτή η τεχνική χρησιμοποιείται από το meterpreter για να κλιμακωθεί στο getsystem
. Η τεχνική συνίσταται στο να δημιουργήσετε έναν σωλήνα και στη συνέχεια να δημιουργήσετε/καταχραστείτε μια υπηρεσία για να γράψει σε αυτόν τον σωλήνα. Στη συνέχεια, ο διακομιστής που δημιούργησε τον σωλήνα χρησιμοποιώντας το προνόμιο SeImpersonate
θα μπορεί να καταχραστεί το token του πελάτη του σωλήνα (της υπηρεσίας) αποκτώντας προνόμια SYSTEM.
Εάν θέλετε να μάθετε περισσότερα σχετικά με τους ονομαστούς σωλήνες, θα πρέπει να διαβάσετε αυτό.
Εάν θέλετε να διαβάσετε ένα παράδειγμα πώς να πάτε από υψηλή ακεραιότητα σε System χρησιμοποιώντας ονομαστούς σωλήνες, θα πρέπει να διαβάσετε αυτό.
Εάν καταφέρετε να καταχραστείτε μια dll που φορτώνεται από μια διαδικασία που εκτελείται ως SYSTEM, θα μπορείτε να εκτελέσετε τυχαίο κώδικα με αυτές τις άδειες. Επομένως, η Dll Hijacking είναι επίσης χρήσιμη για αυτό το είδος κλιμάκωσης προνομίων και, επιπλέον, είναι πολύ πιο εύκολη να επιτευχθεί από μια διαδικασία υψηλής ακεραιότητας καθώς θα έχει δικαιώματα εγγραφής στους φακέλους που χρησιμοποιούνται για τη φόρτωση dlls. Μπορείτε να μάθετε περισσότερα σχετικά με την Dll hijacking εδώ.
Διαβάστε: https://github.com/itm4n/FullPowers
Καλύτερο εργαλείο για αναζήτηση τοπικών διαδρομών κλιμάκωσης προνομίων Windows: WinPEAS
PS
PrivescCheck
PowerSploit-Privesc(PowerUP) -- Ελέγξτε για κακή διαμόρφωση και ευαίσθητα αρχεία (ελέγξτε εδώ). Ανιχνεύθηκε.
JAWS -- Ελέγξτε για κάποιες πιθανές κακές διαμορφώσεις και συγκεντρώστε πληροφορίες (ελέγξτε εδώ).
privesc -- Ελέγξτε για κακή διαμόρφωση
SessionGopher -- Εξάγει πληροφορίες αποθηκευμένων συνεδριών PuTTY, WinSCP, SuperPuTTY, FileZilla και RDP. Χρησιμοποιήστε -Thorough τοπικά.
Invoke-WCMDump -- Εξάγει διαπιστευτήρια από τον Διαχειριστή Διαπιστευτηρίων. Ανιχνεύθηκε.
DomainPasswordSpray -- Ψεκάστε συγκεντρωμένους κωδικούς πρόσβασης σε τομέα
Inveigh -- Το Inveigh είναι ένα εργαλείο spoofing και man-in-the-middle PowerShell ADIDNS/LLMNR/mDNS/NBNS.
WindowsEnum -- Βασική αναγνώριση Windows privesc
Sherlock ~~~~ -- Αναζητήστε γνωστές ευπάθειες privesc (ΑΠΟΡΡΙΦΘΕΙΣΑ για Watson)
WINspect -- Τοπικοί έλεγχοι (Απαιτούν δικαιώματα διαχειριστή)
Exe
Watson -- Αναζητήστε γνωστές ευπάθειες privesc (χρειάζεται να γίνει μεταγλώττιση χρησιμοποιώντας το VisualStudio) (προμεταγλωττισμένο)
SeatBelt -- Αναγνωρίζει τον υπολογιστή αναζητώντας κακές διαμορφώσεις (περισσότερο εργαλείο συγκέντρωσης πληροφοριών παρά privesc) (χρειάζεται να γίνει μεταγλώττιση) (προμεταγλωττισμένο)
LaZagne -- Εξάγει διαπιστευτήρια από πολλά λογισμικά (προμεταγλωττισμένο exe στο github)
SharpUP -- Port του PowerUp σε C#
Beroot ~~~~ -- Ελέγξτε για κακή διαμόρφωση (εκτελέσιμο προμεταγλωττισμένο στο github). Δεν συνιστάται. Δεν λειτουργεί καλά σε Win10.
Windows-Privesc-Check -- Ελέγξτε για πιθανές κακές διαμορφώσεις (exe από python). Δεν συνιστάται. Δεν λειτουργεί καλά σε Win10.
Bat
winPEASbat -- Εργαλείο που δημιουργήθηκε με βάση αυτή την ανάρτηση (δεν χρειάζεται accesschk για να λειτουργήσει σωστά αλλά μπορεί να το χρησιμοποιήσει).
Local
Windows-Exploit-Suggester -- Διαβάζει την έξοδο του systeminfo και προτείνει λειτουργικά exploits (τοπικό python) Windows Exploit Suggester Next Generation -- Διαβάζει την έξοδο του systeminfo και προτείνει λειτουργικά exploits (τοπικό python)
Meterpreter
multi/recon/local_exploit_suggestor
Πρέπει να μεταγλωττίσετε το έργο χρησιμοποιώντας την κατάλληλη έκδοση του .NET (δείτε αυτό). Για να δείτε την εγκατεστημένη έκδοση του .NET στον υπολογιστή του θύματος, μπορείτε να κάνετε:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)