Windows Local Privilege Escalation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ako ne znate šta su Windows Pristupni Tokeni, pročitajte sledeću stranicu pre nego što nastavite:
Access TokensProverite sledeću stranicu za više informacija o ACLs - DACLs/SACLs/ACEs:
ACLs - DACLs/SACLs/ACEsAko ne znate šta su nivoi integriteta u Windows-u, trebali biste pročitati sledeću stranicu pre nego što nastavite:
Integrity LevelsPostoje različite stvari u Windows-u koje bi mogle sprečiti vas da enumerišete sistem, pokrenete izvršne datoteke ili čak otkriju vaše aktivnosti. Trebalo bi da pročitate sledeću stranicu i enumerišete sve ove mehanizme odbrane pre nego što započnete enumeraciju eskalacije privilegija:
Windows Security ControlsProverite da li verzija Windows-a ima neku poznatu ranjivost (proverite i primenjene zakrpe).
Ova stranica je korisna za pretraživanje detaljnih informacija o Microsoft bezbednosnim ranjivostima. Ova baza podataka ima više od 4,700 bezbednosnih ranjivosti, pokazujući ogromnu površinu napada koju Windows okruženje predstavlja.
Na sistemu
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
winpeas (Winpeas ima ugrađen watson)
Lokalno sa informacijama o sistemu
Github repozitorijumi eksploatacija:
Da li su sačuvane bilo kakve kredencijale/sočne informacije u env varijablama?
Možete naučiti kako da to uključite na https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
Detalji o izvršenju PowerShell pipeline-a se beleže, obuhvatajući izvršene komande, pozive komandi i delove skripti. Međutim, potpuni detalji izvršenja i rezultati izlaza možda neće biti zabeleženi.
Da biste to omogućili, pratite uputstva u odeljku "Transcript files" dokumentacije, birajući "Module Logging" umesto "Powershell Transcription".
Da biste pregledali poslednjih 15 događaja iz PowersShell logova, možete izvršiti:
Potpuni zapis aktivnosti i sadržaja izvršenja skripte se beleži, osiguravajući da je svaki blok koda dokumentovan dok se izvršava. Ovaj proces čuva sveobuhvatan trag revizije svake aktivnosti, što je dragoceno za forenziku i analizu zlonamernog ponašanja. Dokumentovanjem svih aktivnosti u trenutku izvršenja, pružaju se detaljni uvidi u proces.
Logovanje događaja za Script Block može se pronaći unutar Windows Event Viewer na putanji: Application and Services Logs > Microsoft > Windows > PowerShell > Operational. Da biste pregledali poslednjih 20 događaja, možete koristiti:
Možete kompromitovati sistem ako se ažuriranja ne traže koristeći httpS već http.
Počnite tako što ćete proveriti da li mreža koristi WSUS ažuriranje bez SSL-a pokretanjem sledeće:
Ако добијете одговор као што је:
I ako je HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
jednako 1
.
Tada, može se iskoristiti. Ako je poslednji registar jednak 0, tada će WSUS unos biti ignorisan.
Da biste iskoristili ove ranjivosti, možete koristiti alate kao što su: Wsuxploit, pyWSUS - Ovo su MiTM oružane eksploatacione skripte za ubrizgavanje 'lažnih' ažuriranja u ne-SSL WSUS saobraćaj.
Pročitajte istraživanje ovde:
WSUS CVE-2020-1013
Pročitajte kompletan izveštaj ovde. U suštini, ovo je greška koju ovaj bug koristi:
Ako imamo moć da modifikujemo naš lokalni korisnički proxy, i Windows ažuriranja koriste proxy konfigurisan u postavkama Internet Explorera, stoga imamo moć da pokrenemo PyWSUS lokalno kako bismo presreli naš vlastiti saobraćaj i izvršili kod kao privilegovani korisnik na našem resursu.
Štaviše, pošto WSUS servis koristi postavke trenutnog korisnika, takođe će koristiti njegov skladište sertifikata. Ako generišemo samopotpisani sertifikat za WSUS ime hosta i dodamo ovaj sertifikat u skladište sertifikata trenutnog korisnika, moći ćemo da presretnemo i HTTP i HTTPS WSUS saobraćaj. WSUS ne koristi HSTS-mehanizme za implementaciju validacije tipa poverenje-prvi-put na sertifikat. Ako je sertifikat koji se prikazuje poveren od strane korisnika i ima ispravno ime hosta, biće prihvaćen od strane servisa.
Možete iskoristiti ovu ranjivost koristeći alat WSUSpicious (kada bude oslobođen).
Lokalna privilegija eskalacije ranjivost postoji u Windows domen okruženjima pod specifičnim uslovima. Ovi uslovi uključuju okruženja gde LDAP potpisivanje nije primenjeno, korisnici poseduju samoprava koja im omogućavaju da konfigurišu Resource-Based Constrained Delegation (RBCD), i mogućnost za korisnike da kreiraju računare unutar domena. Važno je napomenuti da su ovi zahtevi ispunjeni korišćenjem podrazumevanih postavki.
Pronađite eksploit u https://github.com/Dec0ne/KrbRelayUp
Za više informacija o toku napada proverite https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
Ako su ova 2 registra omogućena (vrednost je 0x1), tada korisnici bilo kojih privilegija mogu instalirati (izvršiti) *.msi
datoteke kao NT AUTHORITY\SYSTEM.
Ako imate meterpreter sesiju, možete automatizovati ovu tehniku koristeći modul exploit/windows/local/always_install_elevated
Koristite komandu Write-UserAddMSI
iz power-up da kreirate unutar trenutnog direktorijuma Windows MSI binarni fajl za eskalaciju privilegija. Ovaj skript piše unapred kompajlirani MSI instalater koji traži dodatak korisnika/grupe (tako da će vam biti potrebna GIU pristup):
Just execute the created binary to escalate privileges.
Pročitajte ovaj tutorijal da biste naučili kako da kreirate MSI omotač koristeći ove alate. Imajte na umu da možete omotati ".bat" datoteku ako samo želite da izvršite komandne linije.
MSI WrapperGenerišite sa Cobalt Strike ili Metasploit novi Windows EXE TCP payload u C:\privesc\beacon.exe
Otvorite Visual Studio, izaberite Kreiraj novi projekat i upišite "installer" u pretraživač. Izaberite projekat Setup Wizard i kliknite Next.
Dajte projektu ime, kao što je AlwaysPrivesc, koristite C:\privesc
za lokaciju, izaberite postavi rešenje i projekat u istom direktorijumu, i kliknite Create.
Nastavite da klikćete Next dok ne dođete do koraka 3 od 4 (izaberite datoteke za uključivanje). Kliknite Add i izaberite Beacon payload koji ste upravo generisali. Zatim kliknite Finish.
Istaknite projekat AlwaysPrivesc u Solution Explorer i u Properties, promenite TargetPlatform sa x86 na x64.
Postoje i druge osobine koje možete promeniti, kao što su Autor i Proizvođač koje mogu učiniti instaliranu aplikaciju izgledom legitimnijom.
Desni klik na projekat i izaberite View > Custom Actions.
Desni klik na Install i izaberite Add Custom Action.
Dvaput kliknite na Application Folder, izaberite vašu beacon.exe datoteku i kliknite OK. Ovo će osigurati da se beacon payload izvrši čim se instalater pokrene.
U Custom Action Properties, promenite Run64Bit na True.
Na kraju, izgradite.
Ako se prikaže upozorenje File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86'
, uverite se da ste postavili platformu na x64.
Da biste izvršili instalaciju zlonamerne .msi
datoteke u pozadini:
Da biste iskoristili ovu ranjivost, možete koristiti: exploit/windows/local/always_install_elevated
Ova podešavanja odlučuju šta se beleži, pa treba obratiti pažnju
Windows Event Forwarding, zanimljivo je znati gde se šalju logovi
LAPS je dizajniran za upravljanje lokalnim administrator lozinkama, osiguravajući da je svaka lozinka jedinstvena, nasumična i redovno ažurirana na računarima koji su pridruženi domeni. Ove lozinke su sigurno pohranjene unutar Active Directory-a i mogu ih pristupiti samo korisnici kojima su dodeljene dovoljne dozvole putem ACL-a, omogućavajući im da vide lokalne admin lozinke ako su ovlašćeni.
LAPSAko je aktivan, lozinke u običnom tekstu se čuvaju u LSASS (Local Security Authority Subsystem Service). Više informacija o WDigest na ovoj stranici.
Počevši od Windows 8.1, Microsoft je uveo poboljšanu zaštitu za Lokalnu sigurnosnu vlast (LSA) kako bi blokirao pokušaje nepouzdanih procesa da pročitaju njenu memoriju ili ubace kod, dodatno osiguravajući sistem. Više informacija o LSA zaštiti ovde.
Credential Guard je uveden u Windows 10. Njegova svrha je da zaštiti kredencijale pohranjene na uređaju od pretnji poput napada pass-the-hash.| Više informacija o Credentials Guard ovde.
Domen credentials se autentifikuju od strane Lokalne bezbednosne vlasti (LSA) i koriste ih komponente operativnog sistema. Kada se podaci o prijavljivanju korisnika autentifikuju od strane registrovanog bezbednosnog paketa, domen credentials za korisnika se obično uspostavljaju. Više informacija o Cached Credentials ovde.
Trebalo bi da proverite da li neka od grupa kojima pripadate ima zanimljive dozvole.
Ako pripadate nekoj privilegovanoj grupi, možda ćete moći da eskalirate privilegije. Saznajte više o privilegovanim grupama i kako ih zloupotrebiti za eskalaciju privilegija ovde:
Privileged GroupsSaznajte više o tome šta je token na ovoj stranici: Windows Tokens. Pogledajte sledeću stranicu da saznate o zanimljivim tokenima i kako ih zloupotrebiti:
Abusing TokensPrvo, lista procesa proverava lozinke unutar komandne linije procesa. Proverite da li možete prepisati neki pokrenuti binarni fajl ili da li imate dozvole za pisanje u binarnu fasciklu kako biste iskoristili moguće DLL Hijacking napade:
Uvek proveravajte moguće electron/cef/chromium debuggers koji se izvršavaju, mogli biste to iskoristiti za eskalaciju privilegija.
Proveravanje dozvola binarnih datoteka procesa
Proveravanje dozvola foldera binarnih datoteka procesa (DLL Hijacking)
Možete napraviti dump memorije pokrenutog procesa koristeći procdump iz sysinternals. Usluge poput FTP-a imaju akreditive u čistom tekstu u memoriji, pokušajte da dump-ujete memoriju i pročitate akreditive.
Aplikacije koje rade kao SYSTEM mogu omogućiti korisniku da pokrene CMD ili pretražuje direktorijume.
Primer: "Windows Help and Support" (Windows + F1), pretražiti "command prompt", kliknuti na "Click to open Command Prompt"
Dobijte listu servisa:
Možete koristiti sc da dobijete informacije o servisu
Preporučuje se da imate binarni accesschk iz Sysinternals da proverite potrebni nivo privilegija za svaku uslugu.
Preporučuje se da se proveri da li "Autentifikovani korisnici" mogu da modifikuju bilo koju uslugu:
Možete preuzeti accesschk.exe za XP ovde
Ako imate ovu grešku (na primer sa SSDPSRV):
Sistem error 1058 se dogodio. &#xNAN;Tusluga ne može biti pokrenuta, ili zato što je onemogućena ili zato što nema povezanih aktivnih uređaja.
Možete je omogućiti koristeći
Imajte na umu da usluga upnphost zavisi od SSDPSRV da bi radila (za XP SP1)
Druga alternativa ovom problemu je pokretanje:
U scenariju gde grupa "Autentifikovani korisnici" poseduje SERVICE_ALL_ACCESS na servisu, izmena izvršne datoteke servisa je moguća. Da biste izmenili i izvršili sc:
Privileges can be escalated through various permissions:
SERVICE_CHANGE_CONFIG: Omogućava rekonfiguraciju binarne datoteke servisa.
WRITE_DAC: Omogućava rekonfiguraciju dozvola, što dovodi do mogućnosti promene konfiguracija servisa.
WRITE_OWNER: Dozvoljava sticanje vlasništva i rekonfiguraciju dozvola.
GENERIC_WRITE: Nasleđuje sposobnost promene konfiguracija servisa.
GENERIC_ALL: Takođe nasleđuje sposobnost promene konfiguracija servisa.
For the detection and exploitation of this vulnerability, the exploit/windows/local/service_permissions can be utilized.
Check if you can modify the binary that is executed by a service or if you have write permissions on the folder where the binary is located (DLL Hijacking). You can get every binary that is executed by a service using wmic (not in system32) and check your permissions using icacls:
Možete takođe koristiti sc i icacls:
Trebalo bi da proverite da li možete da modifikujete bilo koju registraciju usluga. Možete proveriti svoje dozvole nad registracijom usluga tako što ćete:
Treba proveriti da li Authenticated Users ili NT AUTHORITY\INTERACTIVE poseduju FullControl
dozvole. Ako je to slučaj, binarni fajl koji izvršava servis može biti izmenjen.
Da biste promenili putanju binarnog fajla koji se izvršava:
Ako imate ovu dozvolu nad registrima, to znači da možete kreirati podregistre iz ovog. U slučaju Windows servisa, to je dovoljno za izvršavanje proizvoljnog koda:
AppendData/AddSubdirectory permission over service registryAko putanja do izvršne datoteke nije unutar navodnika, Windows će pokušati da izvrši svaku završnicu pre razmaka.
Na primer, za putanju C:\Program Files\Some Folder\Service.exe Windows će pokušati da izvrši:
Listajte sve necitirane putanje servisa, isključujući one koje pripadaju ugrađenim Windows servisima:
Možete otkriti i iskoristiti ovu ranjivost sa metasploit-om: exploit/windows/local/trusted\_service\_path
Možete ručno kreirati servisni binarni fajl sa metasploit-om:
Windows omogućava korisnicima da odrede akcije koje će se preduzeti ako usluga ne uspe. Ova funkcija se može konfigurisati da upućuje na binarni fajl. Ako je ovaj binarni fajl zamenljiv, može biti moguće eskalirati privilegije. Više detalja možete pronaći u official documentation.
Proverite dozvole binarnih fajlova (možda možete da prepišete jedan i eskalirate privilegije) i foldera (DLL Hijacking).
Proverite da li možete da modifikujete neki konfiguracioni fajl da biste pročitali neki poseban fajl ili ako možete da modifikujete neki binarni fajl koji će biti izvršen od strane Administratorskog naloga (schedtasks).
Jedan od načina da pronađete slabe dozvole za foldere/fajlove u sistemu je da uradite:
Proverite da li možete da prepišete neki registar ili binarni fajl koji će biti izvršen od strane drugog korisnika. Pročitajte sledeću stranicu da biste saznali više o zanimljivim mestima za autorun za eskalaciju privilegija:
Privilege Escalation with AutorunsPogledajte moguće čudne/ranjive drajvere trećih strana.
Ako imate dozvole za pisanje unutar fascikle koja se nalazi na PATH mogli biste biti u mogućnosti da preuzmete DLL koji učitava proces i povećate privilegije.
Proverite dozvole svih fascikli unutar PATH:
Za više informacija o tome kako zloupotrebiti ovu proveru:
Writable Sys Path +Dll Hijacking PrivescProverite za druge poznate računare koji su hardkodirani u hosts datoteci
Proverite ograničene usluge sa spoljne strane
Pogledajte ovu stranicu za komande vezane za Firewall (lista pravila, kreiranje pravila, isključivanje, isključivanje...)
Više komandi za mrežnu enumeraciju ovde
Binary bash.exe
se takođe može naći u C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe
Ako dobijete root korisnika, možete slušati na bilo kom portu (prvi put kada koristite nc.exe
da slušate na portu, pitaće vas putem GUI da li nc
treba da bude dozvoljen od strane vatrozida).
Da biste lako pokrenuli bash kao root, možete pokušati --default-user root
Možete istražiti WSL
datotečni sistem u fascikli C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\
Sa https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault Windows trezor čuva korisničke kredencijale za servere, veb sajtove i druge programe za koje Windows može automatski da prijavi korisnike. Na prvi pogled, ovo može izgledati kao da korisnici mogu da čuvaju svoje Facebook kredencijale, Twitter kredencijale, Gmail kredencijale itd., tako da se automatski prijavljuju putem pregledača. Ali to nije tako.
Windows trezor čuva kredencijale koje Windows može automatski da prijavi korisnicima, što znači da svaka Windows aplikacija koja treba kredencijale za pristup resursu (serveru ili veb sajtu) može koristiti ovaj Menadžer kredencijala i Windows trezor i koristiti kredencijale koje su date umesto da korisnici stalno unose korisničko ime i lozinku.
Osim ako aplikacije ne komuniciraju sa Menadžerom kredencijala, ne mislim da je moguće da koriste kredencijale za dati resurs. Dakle, ako vaša aplikacija želi da koristi trezor, treba nekako da komunicira sa menadžerom kredencijala i zatraži kredencijale za taj resurs iz podrazumevanog skladišta trezora.
Koristite cmdkey
da biste prikazali sačuvane kredencijale na mašini.
Zatim možete koristiti runas
sa opcijom /savecred
kako biste koristili sačuvane akreditive. Sledeći primer poziva udaljeni binarni fajl putem SMB deljenja.
Koristeći runas
sa datim skupom akreditiva.
Napomena da mimikatz, lazagne, credentialfileview, VaultPasswordView, ili iz Empire Powershells module.
Data Protection API (DPAPI) pruža metodu za simetrično enkripciju podataka, pretežno korišćenu unutar Windows operativnog sistema za simetričnu enkripciju asimetričnih privatnih ključeva. Ova enkripcija koristi tajnu korisnika ili sistema kako bi značajno doprinela entropiji.
DPAPI omogućava enkripciju ključeva putem simetričnog ključa koji se izvodi iz tajni korisničkog prijavljivanja. U scenarijima koji uključuju enkripciju sistema, koristi tajne autentifikacije domena sistema.
Enkriptovani korisnički RSA ključevi, koristeći DPAPI, čuvaju se u %APPDATA%\Microsoft\Protect\{SID}
direktorijumu, gde {SID}
predstavlja korisnički Security Identifier. DPAPI ključ, koji se nalazi zajedno sa glavnim ključem koji štiti privatne ključeve korisnika u istom fajlu, obično se sastoji od 64 bajta nasumičnih podataka. (Važno je napomenuti da je pristup ovom direktorijumu ograničen, sprečavajući listanje njegovog sadržaja putem dir
komande u CMD, iako se može listati putem PowerShell-a).
Možete koristiti mimikatz modul dpapi::masterkey
sa odgovarajućim argumentima (/pvk
ili /rpc
) da ga dekriptujete.
Datoteke sa kredencijalima zaštićene glavnom lozinkom obično se nalaze u:
Možete koristiti mimikatz modul dpapi::cred
sa odgovarajućim /masterkey
za dekripciju.
Možete izvući mnoge DPAPI masterkeys iz memorije pomoću sekurlsa::dpapi
modula (ako ste root).
PowerShell kredencijali se često koriste za scripting i automatizaciju kao način za praktično čuvanje enkriptovanih kredencijala. Kredencijali su zaštićeni korišćenjem DPAPI, što obično znači da ih može dekriptovati samo isti korisnik na istom računaru na kojem su kreirani.
Da biste dekriptovali PS kredencijale iz datoteke koja ih sadrži, možete uraditi:
Možete ih pronaći na HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
i u HKCU\Software\Microsoft\Terminal Server Client\Servers\
Use the Mimikatz dpapi::rdg
module with appropriate /masterkey
to decrypt any .rdg files
You can extract many DPAPI masterkeys from memory with the Mimikatz sekurlsa::dpapi
module
Ljudi često koriste aplikaciju StickyNotes na Windows radnim stanicama da čuvaju lozinke i druge informacije, ne shvatajući da je to datoteka baze podataka. Ova datoteka se nalazi na C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite
i uvek vredi pretražiti i ispitati.
Napomena da da biste povratili lozinke iz AppCmd.exe morate biti Administrator i raditi pod visokim integritetom.
AppCmd.exe se nalazi u %systemroot%\system32\inetsrv\
direktorijumu.
Ako ova datoteka postoji, moguće je da su neka akreditivna podešavanja konfigurisana i mogu se povratiti.
This code was extracted from PowerUP:
Proverite da li C:\Windows\CCM\SCClient.exe
postoji.
Instalateri se pokreću sa SYSTEM privilegijama, mnogi su ranjivi na DLL Sideloading (Informacije od https://github.com/enjoiz/Privesc).
SSH privatni ključevi mogu biti smešteni unutar registracijske ključeva HKCU\Software\OpenSSH\Agent\Keys
, pa treba da proverite da li ima nečega zanimljivog tamo:
Ako pronađete bilo koji unos unutar tog puta, verovatno će to biti sačuvani SSH ključ. Čuva se enkriptovan, ali se može lako dekriptovati koristeći https://github.com/ropnop/windows_sshagent_extract. Više informacija o ovoj tehnici ovde: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Ako ssh-agent
servis nije pokrenut i želite da se automatski pokrene pri podizanju sistema, pokrenite:
Izgleda da ova tehnika više nije validna. Pokušao sam da kreiram neke ssh ključeve, dodam ih sa ssh-add
i prijavim se putem ssh na mašinu. Registry HKCU\Software\OpenSSH\Agent\Keys ne postoji i procmon nije identifikovao korišćenje dpapi.dll
tokom asimetrične autentifikacije ključeva.
Možete takođe pretraživati ove datoteke koristeći metasploit: post/windows/gather/enum_unattend
Primer sadržaja:
Potražite datoteku pod nazivom SiteList.xml
Prethodno je postojala funkcija koja je omogućavala implementaciju prilagođenih lokalnih administratorskih naloga na grupi mašina putem Group Policy Preferences (GPP). Međutim, ova metoda je imala značajne sigurnosne nedostatke. Prvo, Group Policy Objects (GPOs), pohranjeni kao XML datoteke u SYSVOL, mogli su biti dostupni bilo kojem korisniku domena. Drugo, lozinke unutar ovih GPP-a, šifrovane sa AES256 koristeći javno dokumentovani podrazumevani ključ, mogle su biti dešifrovane od strane bilo kog autentifikovanog korisnika. Ovo je predstavljalo ozbiljan rizik, jer je moglo omogućiti korisnicima da dobiju povišene privilegije.
Da bi se umanjio ovaj rizik, razvijena je funkcija koja skenira lokalno keširane GPP datoteke koje sadrže "cpassword" polje koje nije prazno. Kada pronađe takvu datoteku, funkcija dešifruje lozinku i vraća prilagođeni PowerShell objekat. Ovaj objekat uključuje detalje o GPP-u i lokaciji datoteke, pomažući u identifikaciji i otklanjanju ove sigurnosne ranjivosti.
Pretražujte u C:\ProgramData\Microsoft\Group Policy\history
ili u C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (pre W Vista) za ove datoteke:
Groups.xml
Services.xml
Scheduledtasks.xml
DataSources.xml
Printers.xml
Drives.xml
Da dešifrujete cPassword:
Koristeći crackmapexec za dobijanje lozinki:
Primer web.config sa akreditivima:
Možete uvek zamoliti korisnika da unese svoje akreditive ili čak akreditive drugog korisnika ako mislite da ih može znati (imajte na umu da je direktno traženje od klijenta za akreditivima zaista rizično):
Poznate datoteke koje su pre nekog vremena sadržale lozinke u čistom tekstu ili Base64
Pretražite sve predložene datoteke:
Trebalo bi da proverite i Kantu za otpatke da biste potražili kredencijale unutar nje
Da povratite lozinke sačuvane od strane nekoliko programa možete koristiti: http://www.nirsoft.net/password_recovery_tools.html
Ostali mogući ključevi registra sa kredencijalima
Izvlačenje openssh ključeva iz registra.
Trebalo bi da proverite baze podataka gde su sačuvane lozinke iz Chrome-a ili Firefox-a. Takođe proverite istoriju, obeleživače i favorite pregledača, možda su neke lozinke sačuvane tamo.
Alati za izvlačenje lozinki iz pregledača:
Mimikatz: dpapi::chrome
Component Object Model (COM) je tehnologija ugrađena u Windows operativni sistem koja omogućava međusobnu komunikaciju između softverskih komponenti različitih jezika. Svaka COM komponenta je identifikovana putem ID-a klase (CLSID), a svaka komponenta izlaže funkcionalnost putem jednog ili više interfejsa, identifikovanih putem ID-a interfejsa (IIDs).
COM klase i interfejsi su definisani u registru pod HKEY_CLASSES_ROOT\CLSID i HKEY_CLASSES_ROOT\Interface. Ovaj registar se kreira spajanjem HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT.
Unutar CLSID-ova ovog registra možete pronaći podregistar InProcServer32 koji sadrži podrazumevanu vrednost koja pokazuje na DLL i vrednost pod nazivom ThreadingModel koja može biti Apartment (Jednoprocesni), Free (Višedretveni), Both (Jedan ili Više) ili Neutral (Neutralan prema nitima).
U suštini, ako možete prepisati bilo koji od DLL-ova koji će biti izvršeni, mogli biste povećati privilegije ako taj DLL bude izvršen od strane drugog korisnika.
Da biste saznali kako napadači koriste COM Hijacking kao mehanizam postojanosti, proverite:
COM HijackingPretražite sadržaj datoteka
Pretražite datoteku sa određenim imenom datoteke
Pretražite registar za imena ključeva i lozinke
MSF-Credentials Plugin je msf dodatak koji sam kreirao da automatski izvrši svaki metasploit POST modul koji traži kredencijale unutar žrtve. Winpeas automatski pretražuje sve datoteke koje sadrže lozinke pomenute na ovoj stranici. Lazagne je još jedan odličan alat za ekstrakciju lozinki iz sistema.
Alat SessionGopher traži sesije, korisnička imena i lozinke nekoliko alata koji čuvaju ove podatke u čistom tekstu (PuTTY, WinSCP, FileZilla, SuperPuTTY i RDP)
Zamislite da proces koji se izvršava kao SYSTEM otvara novi proces (OpenProcess()
) sa potpunim pristupom. Taj isti proces takođe kreira novi proces (CreateProcess()
) sa niskim privilegijama, ali nasleđuje sve otvorene handle-ove glavnog procesa.
Tada, ako imate potpun pristup procesu sa niskim privilegijama, možete uhvatiti otvoreni handle za privilegovani proces kreiran sa OpenProcess()
i ubaciti shellcode.
Pročitajte ovaj primer za više informacija o tome kako otkriti i iskoristiti ovu ranjivost.
Pročitajte ovaj drugi post za potpunije objašnjenje o tome kako testirati i zloupotrebljavati više otvorenih handle-ova procesa i niti nasleđenih sa različitim nivoima dozvola (ne samo punim pristupom).
Deljeni memorijski segmenti, poznati kao cevi, omogućavaju komunikaciju između procesa i prenos podataka.
Windows pruža funkciju pod nazivom Named Pipes, koja omogućava nepovezanim procesima da dele podatke, čak i preko različitih mreža. Ovo podseća na arhitekturu klijent/server, sa ulogama definisanim kao server cevi i klijent cevi.
Kada se podaci šalju kroz cev od strane klijenta, server koji je postavio cev ima mogućnost da preuzme identitet klijenta, pod uslovom da ima potrebna SeImpersonate prava. Identifikovanje privilegovanog procesa koji komunicira putem cevi koji možete imitirati pruža priliku da dobijete više privilegije preuzimanjem identiteta tog procesa kada interaguje sa cevima koje ste postavili. Za uputstva o izvršavanju takvog napada, korisni vodiči se mogu naći ovde i ovde.
Takođe, sledeći alat omogućava presretanje komunikacije cevi sa alatom kao što je burp: https://github.com/gabriel-sztejnworcel/pipe-intercept i ovaj alat omogućava da se prikažu i vide sve cevi kako bi se pronašle privesc https://github.com/cyberark/PipeViewer
Kada dobijete shell kao korisnik, mogu postojati zakazani zadaci ili drugi procesi koji se izvršavaju i prolaze kredencijale putem komandne linije. Skripta ispod hvata komandne linije procesa svake dve sekunde i upoređuje trenutnu situaciju sa prethodnom, prikazujući sve razlike.
Ako imate pristup grafičkom interfejsu (putem konzole ili RDP) i UAC je omogućen, u nekim verzijama Microsoft Windows-a moguće je pokrenuti terminal ili bilo koji drugi proces kao "NT\AUTHORITY SYSTEM" iz korisnika bez privilegija.
To omogućava eskalaciju privilegija i zaobilaženje UAC-a istovremeno koristeći istu ranjivost. Pored toga, nije potrebno instalirati ništa, a binarni fajl koji se koristi tokom procesa je potpisan i izdat od strane Microsoft-a.
Neki od pogođenih sistema su sledeći:
Da bi se iskoristila ova ranjivost, potrebno je izvršiti sledeće korake:
Imate sve potrebne datoteke i informacije u sledećem GitHub repozitorijumu:
https://github.com/jas502n/CVE-2019-1388
Pročitajte ovo da naučite o Integrity Levels:
Integrity LevelsZatim pročitajte ovo da naučite o UAC i UAC bypasses:
UAC - User Account ControlAko već radite na High Integrity procesu, prelazak na SYSTEM može biti lak samo kreiranjem i izvršavanjem nove usluge:
Iz procesa visokog integriteta možete pokušati da omogućite AlwaysInstallElevated registry unose i instalirate reverznu ljusku koristeći .msi omotač. Više informacija o registrovnim ključevima koji su uključeni i kako instalirati .msi paket ovde.
Možete pronaći kod ovde.
Ako imate te token privilegije (verovatno ćete ovo pronaći u već postojećem procesu visokog integriteta), moći ćete da otvorite gotovo bilo koji proces (nezaštićene procese) sa SeDebug privilegijom, kopirate token procesa i kreirate arbitrarni proces sa tim tokenom. Korišćenjem ove tehnike obično se izabere bilo koji proces koji se izvršava kao SYSTEM sa svim token privilegijama (da, možete pronaći SYSTEM procese bez svih token privilegija). Možete pronaći primer koda koji izvršava predloženu tehniku ovde.
Ova tehnika se koristi od strane meterpreter-a za eskalaciju u getsystem
. Tehnika se sastoji u kreiranju cevi i zatim kreiranju/zloupotrebi usluge za pisanje na toj cevi. Tada će server koji je kreirao cev koristeći SeImpersonate
privilegiju moći da imituje token klijenta cevi (uslugu) dobijajući SYSTEM privilegije.
Ako želite da saznate više o named pipes, trebali biste pročitati ovo.
Ako želite da pročitate primer kako preći sa visokog integriteta na System koristeći named pipes, trebali biste pročitati ovo.
Ako uspete da otmete dll koji se učitava od strane procesa koji se izvršava kao SYSTEM, moći ćete da izvršite proizvoljan kod sa tim dozvolama. Stoga je Dll Hijacking takođe koristan za ovu vrstu eskalacije privilegija, a, osim toga, daleko je lakše postići iz procesa visokog integriteta jer će imati dozvole za pisanje na folderima koji se koriste za učitavanje dll-ova. Možete saznati više o Dll hijacking ovde.
Pročitajte: https://github.com/itm4n/FullPowers
Najbolji alat za traženje Windows lokalnih vektora eskalacije privilegija: WinPEAS
PS
PrivescCheck
PowerSploit-Privesc(PowerUP) -- Proverite za pogrešne konfiguracije i osetljive datoteke (proverite ovde). Otkriveno.
JAWS -- Proverite za neke moguće pogrešne konfiguracije i prikupite informacije (proverite ovde).
privesc -- Proverite za pogrešne konfiguracije
SessionGopher -- Ekstrahuje informacije o sačuvanim sesijama iz PuTTY, WinSCP, SuperPuTTY, FileZilla i RDP. Koristite -Thorough u lokalnom režimu.
Invoke-WCMDump -- Ekstrahuje kredencijale iz Credential Manager-a. Otkriveno.
DomainPasswordSpray -- Sprej za prikupljene lozinke širom domena
Inveigh -- Inveigh je PowerShell ADIDNS/LLMNR/mDNS/NBNS lažnjak i alat za napad.
WindowsEnum -- Osnovna privesc Windows enumeracija
Sherlock ~~~~ -- Pretražuje poznate privesc ranjivosti (DEPRECATED za Watson)
WINspect -- Lokalne provere (Potrebna su admin prava)
Exe
Watson -- Pretražuje poznate privesc ranjivosti (mora se kompajlirati koristeći VisualStudio) (prekompajlirano)
SeatBelt -- Enumerira host tražeći pogrešne konfiguracije (više alat za prikupljanje informacija nego privesc) (mora se kompajlirati) (prekompajlirano)
LaZagne -- Ekstrahuje kredencijale iz mnogih softvera (prekompajlirani exe na github-u)
SharpUP -- Port PowerUp-a u C#
Beroot ~~~~ -- Proverite za pogrešne konfiguracije (izvršni prekompajlirani na github-u). Nije preporučeno. Ne radi dobro na Win10.
Windows-Privesc-Check -- Proverite za moguće pogrešne konfiguracije (exe iz python-a). Nije preporučeno. Ne radi dobro na Win10.
Bat
winPEASbat -- Alat kreiran na osnovu ovog posta (ne zahteva accesschk da bi ispravno radio, ali može ga koristiti).
Local
Windows-Exploit-Suggester -- Čita izlaz systeminfo i preporučuje funkcionalne eksploite (lokalni python) Windows Exploit Suggester Next Generation -- Čita izlaz systeminfo i preporučuje funkcionalne eksploite (lokalni python)
Meterpreter
multi/recon/local_exploit_suggestor
Morate kompajlirati projekat koristeći ispravnu verziju .NET (vidi ovo). Da biste videli instaliranu verziju .NET na žrtvovom hostu, možete uraditi:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)