Windows Local Privilege Escalation
Mejor herramienta para buscar vectores de escalada de privilegios local en Windows: WinPEAS
Teoría Inicial de Windows
Tokens de Acceso
Si no sabes qué son los Tokens de Acceso en Windows, lee la siguiente página antes de continuar:
pageAccess TokensACLs - DACLs/SACLs/ACEs
Consulta la siguiente página para obtener más información sobre ACLs - DACLs/SACLs/ACEs:
pageACLs - DACLs/SACLs/ACEsNiveles de Integridad
Si no sabes qué son los niveles de integridad en Windows, deberías leer la siguiente página antes de continuar:
pageIntegrity LevelsControles de Seguridad de Windows
Hay diferentes cosas en Windows que podrían impedirte enumerar el sistema, ejecutar ejecutables o incluso detectar tus actividades. Deberías leer la siguiente página y enumerar todos estos mecanismos de defensa antes de comenzar la enumeración de escalada de privilegios:
pageWindows Security ControlsInformación del Sistema
Enumeración de información de versión
Verifica si la versión de Windows tiene alguna vulnerabilidad conocida (verifica también los parches aplicados).
Vulnerabilidades de Versiones
Este sitio es útil para buscar información detallada sobre vulnerabilidades de seguridad de Microsoft. Esta base de datos tiene más de 4,700 vulnerabilidades de seguridad, mostrando la enorme superficie de ataque que presenta un entorno de Windows.
En el sistema
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
winpeas (Winpeas tiene watson incrustado)
Localmente con información del sistema
Repositorios de exploits en Github:
Entorno
¿Hay alguna credencial/información confidencial guardada en las variables de entorno?
Historial de PowerShell
Archivos de transcripción de PowerShell
Puedes aprender cómo activar esto en https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
Registro de Módulo de PowerShell
Se registran los detalles de las ejecuciones de la canalización de PowerShell, abarcando los comandos ejecutados, las invocaciones de comandos y partes de scripts. Sin embargo, es posible que no se capturen todos los detalles de la ejecución y los resultados de la salida.
Para habilitar esto, siga las instrucciones en la sección de "Archivos de transcripción" de la documentación, optando por "Registro de Módulo" en lugar de "Transcripción de PowerShell".
Para ver los últimos 15 eventos de los registros de Powershell, puedes ejecutar:
Registro de bloques de scripts de PowerShell
Se captura un registro completo de la actividad y el contenido completo de la ejecución del script, asegurando que cada bloque de código esté documentado a medida que se ejecuta. Este proceso preserva un rastro de auditoría completo de cada actividad, valioso para la investigación forense y el análisis de comportamientos maliciosos. Al documentar toda la actividad en el momento de la ejecución, se proporcionan conocimientos detallados sobre el proceso.
Los eventos de registro para el Bloque de Script se pueden encontrar dentro del Visor de eventos de Windows en la ruta: Registros de aplicaciones y servicios > Microsoft > Windows > PowerShell > Operativo. Para ver los últimos 20 eventos puedes usar:
Configuración de Internet
Unidades
WSUS
Puedes comprometer el sistema si las actualizaciones no se solicitan utilizando httpS sino http.
Comienza verificando si la red utiliza una actualización de WSUS no SSL ejecutando lo siguiente:
Si obtienes una respuesta como:
Y si HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
es igual a 1
.
Entonces, es explotable. Si el último registro es igual a 0, la entrada de WSUS será ignorada.
Para explotar estas vulnerabilidades, puedes usar herramientas como: Wsuxploit, pyWSUS - Estos son scripts de exploits armados para MiTM para inyectar actualizaciones 'falsas' en el tráfico de WSUS no SSL.
Lee la investigación aquí:
WSUS CVE-2020-1013
Lee el informe completo aquí. Básicamente, esta es la falla que explota este error:
Si tenemos el poder de modificar nuestro proxy de usuario local, y las actualizaciones de Windows usan el proxy configurado en la configuración de Internet Explorer, por lo tanto, tenemos el poder de ejecutar PyWSUS localmente para interceptar nuestro propio tráfico y ejecutar código como un usuario elevado en nuestro activo.
Además, dado que el servicio WSUS usa la configuración del usuario actual, también usará su almacén de certificados. Si generamos un certificado autofirmado para el nombre de host de WSUS y agregamos este certificado al almacén de certificados del usuario actual, podremos interceptar tanto el tráfico de WSUS HTTP como HTTPS. WSUS no utiliza mecanismos similares a HSTS para implementar una validación de tipo confianza en la primera utilización en el certificado. Si el certificado presentado es de confianza para el usuario y tiene el nombre de host correcto, será aceptado por el servicio.
Puedes explotar esta vulnerabilidad usando la herramienta WSUSpicious (una vez liberada).
KrbRelayUp
Existe una vulnerabilidad de escalada de privilegios local en entornos de dominio de Windows bajo condiciones específicas. Estas condiciones incluyen entornos donde no se aplica la firma LDAP, los usuarios poseen derechos propios que les permiten configurar Delegación Condicional Basada en Recursos (RBCD) y la capacidad para que los usuarios creen equipos dentro del dominio. Es importante tener en cuenta que estos requisitos se cumplen utilizando configuraciones predeterminadas.
Encuentra el exploit en https://github.com/Dec0ne/KrbRelayUp
Para obtener más información sobre el flujo del ataque, consulta https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
AlwaysInstallElevated
Si estos 2 registros están habilitados (el valor es 0x1), entonces los usuarios de cualquier privilegio pueden instalar (ejecutar) archivos *.msi
como NT AUTHORITY\SYSTEM.
Cargas útiles de Metasploit
Si tienes una sesión de meterpreter, puedes automatizar esta técnica utilizando el módulo exploit/windows/local/always_install_elevated
PowerUP
Utiliza el comando Write-UserAddMSI
de PowerUP para crear dentro del directorio actual un binario MSI de Windows para escalar privilegios. Este script escribe un instalador MSI precompilado que solicita la adición de un usuario/grupo (por lo que necesitarás acceso a la interfaz gráfica de usuario):
Simplemente ejecuta el binario creado para escalar privilegios.
Envoltorio MSI
Lee este tutorial para aprender cómo crear un envoltorio MSI usando estas herramientas. Ten en cuenta que puedes envolver un archivo ".bat" si solo deseas ejecutar líneas de comandos
pageMSI WrapperCrear MSI con WIX
pageCreate MSI with WIXCrear MSI con Visual Studio
Genera con Cobalt Strike o Metasploit un nuevo payload TCP EXE de Windows en
C:\privesc\beacon.exe
Abre Visual Studio, selecciona Crear un nuevo proyecto y escribe "instalador" en el cuadro de búsqueda. Selecciona el proyecto Asistente para configuración y haz clic en Siguiente.
Dale un nombre al proyecto, como AlwaysPrivesc, usa
C:\privesc
como ubicación, selecciona colocar solución y proyecto en el mismo directorio, y haz clic en Crear.Sigue haciendo clic en Siguiente hasta llegar al paso 3 de 4 (elegir archivos para incluir). Haz clic en Agregar y selecciona el payload Beacon que acabas de generar. Luego haz clic en Finalizar.
Resalta el proyecto AlwaysPrivesc en el Explorador de soluciones y en las Propiedades, cambia TargetPlatform de x86 a x64.
Hay otras propiedades que puedes cambiar, como el Autor y Fabricante que pueden hacer que la aplicación instalada parezca más legítima.
Haz clic con el botón derecho en el proyecto y selecciona Ver > Acciones personalizadas.
Haz clic con el botón derecho en Instalar y selecciona Agregar acción personalizada.
Haz doble clic en Carpeta de la aplicación, selecciona tu archivo beacon.exe y haz clic en Aceptar. Esto asegurará que el payload beacon se ejecute tan pronto como se ejecute el instalador.
En las Propiedades de la acción personalizada, cambia Run64Bit a Verdadero.
Finalmente, compílalo.
Si se muestra la advertencia
El archivo 'beacon-tcp.exe' que apunta a 'x64' no es compatible con la plataforma de destino del proyecto 'x86'
, asegúrate de configurar la plataforma en x64.
Instalación de MSI
Para ejecutar la instalación del archivo .msi
malicioso en segundo plano:
Para explotar esta vulnerabilidad puedes usar: exploit/windows/local/always_install_elevated
Antivirus y Detectores
Configuraciones de Auditoría
Estas configuraciones deciden qué se está registrando, así que debes prestar atención
WEF
Windows Event Forwarding, es interesante saber a dónde se envían los registros.
LAPS
LAPS está diseñado para la gestión de contraseñas de administrador locales, asegurando que cada contraseña sea única, aleatoria y se actualice regularmente en computadoras unidas a un dominio. Estas contraseñas se almacenan de forma segura dentro de Active Directory y solo pueden ser accedidas por usuarios que hayan sido otorgados permisos suficientes a través de ACL, permitiéndoles ver contraseñas de administrador locales si están autorizados.
pageLAPSWDigest
Si está activo, las contraseñas en texto plano se almacenan en LSASS (Local Security Authority Subsystem Service). Más información sobre WDigest en esta página.
Protección de LSA
A partir de Windows 8.1, Microsoft introdujo una protección mejorada para la Autoridad de Seguridad Local (LSA) para bloquear intentos de procesos no confiables de leer su memoria o inyectar código, fortaleciendo aún más el sistema. Más información sobre la Protección de LSA aquí.
Protección de Credenciales
Credential Guard fue introducido en Windows 10. Su propósito es proteger las credenciales almacenadas en un dispositivo contra amenazas como los ataques de pass-the-hash.| Más información sobre Credential Guard aquí.
Credenciales en caché
Las credenciales de dominio son autenticadas por la Autoridad de Seguridad Local (LSA) y utilizadas por los componentes del sistema operativo. Cuando los datos de inicio de sesión de un usuario son autenticados por un paquete de seguridad registrado, las credenciales de dominio para el usuario suelen establecerse. Más información sobre Credenciales en caché aquí.
Usuarios y Grupos
Enumerar Usuarios y Grupos
Deberías verificar si alguno de los grupos a los que perteneces tiene permisos interesantes.
Grupos privilegiados
Si perteneces a algún grupo privilegiado, es posible que puedas escalar privilegios. Aprende sobre los grupos privilegiados y cómo abusar de ellos para escalar privilegios aquí:
pagePrivileged GroupsManipulación de tokens
Aprende más sobre qué es un token en esta página: Tokens de Windows. Consulta la siguiente página para aprender sobre tokens interesantes y cómo abusar de ellos:
pageAbusing TokensUsuarios registrados / Sesiones
Carpetas de usuario
Política de Contraseñas
Obtener el contenido del portapapeles
Procesos en Ejecución
Permisos de Archivos y Carpetas
En primer lugar, al listar los procesos, verifique contraseñas dentro de la línea de comandos del proceso. Verifique si puede sobrescribir algún binario en ejecución o si tiene permisos de escritura en la carpeta del binario para explotar posibles ataques de DLL Hijacking:
Siempre verifica si hay posibles depuradores de electron/cef/chromium en ejecución, podrías abusar de ellos para escalar privilegios.
Verificando los permisos de los binarios de los procesos
Verificación de los permisos de las carpetas de los binarios de los procesos (DLL Hijacking)
Minería de contraseñas en memoria
Puedes crear un volcado de memoria de un proceso en ejecución utilizando procdump de sysinternals. Servicios como FTP tienen las credenciales en texto claro en la memoria, intenta hacer un volcado de la memoria y leer las credenciales.
Aplicaciones GUI inseguras
Las aplicaciones que se ejecutan como SYSTEM pueden permitir a un usuario abrir un CMD o navegar por directorios.
Ejemplo: "Ayuda y soporte técnico de Windows" (Windows + F1), buscar "símbolo del sistema", hacer clic en "Haga clic para abrir el Símbolo del sistema"
Servicios
Obtener una lista de servicios:
Permisos
Puedes usar sc para obtener información de un servicio
Se recomienda tener el binario accesschk de Sysinternals para verificar el nivel de privilegio requerido para cada servicio.
Se recomienda verificar si "Usuarios autenticados" pueden modificar algún servicio:
Puedes descargar accesschk.exe para XP aquí
Habilitar servicio
Si tienes este error (por ejemplo con SSDPSRV):
Ha ocurrido un error del sistema 1058. El servicio no puede iniciarse porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
Puedes habilitarlo usando
Ten en cuenta que el servicio upnphost depende de SSDPSRV para funcionar (para XP SP1)
Otro método alternativo para este problema es ejecutar:
Modificar la ruta del binario del servicio
En el escenario donde el grupo "Usuarios autenticados" posee SERVICE_ALL_ACCESS en un servicio, es posible la modificación del binario ejecutable del servicio. Para modificar y ejecutar sc:
Reiniciar servicio
Los privilegios pueden ser escalados a través de varios permisos:
SERVICE_CHANGE_CONFIG: Permite la reconfiguración del binario del servicio.
WRITE_DAC: Habilita la reconfiguración de permisos, lo que lleva a la capacidad de cambiar configuraciones de servicio.
WRITE_OWNER: Permite la adquisición de propiedad y reconfiguración de permisos.
GENERIC_WRITE: Hereda la capacidad de cambiar configuraciones de servicio.
GENERIC_ALL: También hereda la capacidad de cambiar configuraciones de servicio.
Para la detección y explotación de esta vulnerabilidad, se puede utilizar el exploit/windows/local/service_permissions.
Permisos débiles en binarios de servicios
Verifique si puede modificar el binario que es ejecutado por un servicio o si tiene permisos de escritura en la carpeta donde se encuentra el binario (DLL Hijacking). Puede obtener cada binario que es ejecutado por un servicio usando wmic (no en system32) y verificar sus permisos usando icacls:
También puedes usar sc e icacls:
Permisos de modificación del registro de servicios
Deberías verificar si puedes modificar algún registro de servicios. Puedes verificar tus permisos sobre un registro de servicios haciendo:
Se debe verificar si Usuarios autenticados o NT AUTHORITY\INTERACTIVE poseen permisos de Control total
. En caso afirmativo, se puede modificar el binario ejecutado por el servicio.
Para cambiar la Ruta del binario ejecutado:
Permisos de AppendData/AddSubdirectory en el registro de servicios
Si tienes este permiso sobre un registro, esto significa que puedes crear subregistros a partir de este. En el caso de los servicios de Windows, esto es suficiente para ejecutar código arbitrario:
pageAppendData/AddSubdirectory permission over service registryRutas de Servicio sin Comillas
Si la ruta a un ejecutable no está entre comillas, Windows intentará ejecutar todo lo que esté antes de un espacio.
Por ejemplo, para la ruta C:\Program Files\Some Folder\Service.exe Windows intentará ejecutar:
Lista todos los caminos de servicio sin comillas, excluyendo los que pertenecen a servicios integrados de Windows:
Puedes detectar y explotar esta vulnerabilidad con metasploit: exploit/windows/local/trusted\_service\_path
Puedes crear manualmente un binario de servicio con metasploit:
Acciones de Recuperación
Windows permite a los usuarios especificar acciones a tomar si un servicio falla. Esta característica se puede configurar para apuntar a un binario. Si este binario es reemplazable, podría ser posible la escalada de privilegios. Se pueden encontrar más detalles en la documentación oficial.
Aplicaciones
Aplicaciones Instaladas
Verifique los permisos de los binarios (quizás pueda sobrescribir uno y escalar privilegios) y de las carpetas (Secuestro de DLL).
Permisos de Escritura
Verifique si puede modificar algún archivo de configuración para leer algún archivo especial o si puede modificar algún binario que vaya a ser ejecutado por una cuenta de Administrador (schedtasks).
Una forma de encontrar permisos débiles de carpetas/archivos en el sistema es:
Ejecutar al inicio
Verifique si puede sobrescribir algún registro o binario que vaya a ser ejecutado por un usuario diferente. Lea la siguiente página para aprender más sobre ubicaciones interesantes de autoruns para escalar privilegios:
pagePrivilege Escalation with AutorunsControladores
Busque posibles controladores extraños/vulnerables de terceros.
Secuestro de DLL en la RUTA
Si tienes permisos de escritura dentro de una carpeta presente en la RUTA, podrías ser capaz de secuestrar una DLL cargada por un proceso y escalar privilegios.
Verifica los permisos de todas las carpetas dentro de la RUTA:
Para obtener más información sobre cómo abusar de esta comprobación:
pageWritable Sys Path +Dll Hijacking PrivescRed
Compartidos
archivo hosts
Verifique si hay otros equipos conocidos codificados en el archivo hosts
Interfaces de Red y DNS
Puertos abiertos
Verificar los servicios restringidos desde el exterior
Tabla de enrutamiento
Tabla ARP
Reglas del Firewall
Consulte esta página para comandos relacionados con el Firewall (listar reglas, crear reglas, desactivar, desactivar...)
Más comandos para enumeración de redes aquí
Subsistema de Windows para Linux (WSL)
El binario bash.exe
también se puede encontrar en C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe
Si obtienes acceso de usuario root, puedes escuchar en cualquier puerto (la primera vez que uses nc.exe
para escuchar en un puerto, preguntará a través de la GUI si se debe permitir nc
en el firewall).
Para iniciar fácilmente bash como root, puedes probar --default-user root
Puedes explorar el sistema de archivos de WSL
en la carpeta C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\
Credenciales de Windows
Credenciales de Winlogon
Administrador de credenciales / Bóveda de Windows
Desde https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault La Bóveda de Windows almacena las credenciales de usuario para servidores, sitios web y otros programas a los que Windows puede iniciar sesión automáticamente. A primera vista, esto podría parecer que los usuarios pueden almacenar sus credenciales de Facebook, Twitter, Gmail, etc., para que inicien sesión automáticamente a través de los navegadores. Pero no es así.
La Bóveda de Windows almacena credenciales que Windows puede utilizar para iniciar sesión automáticamente en los usuarios, lo que significa que cualquier aplicación de Windows que necesite credenciales para acceder a un recurso (servidor o sitio web) puede hacer uso de este Administrador de Credenciales y de la Bóveda de Windows y utilizar las credenciales suministradas en lugar de que los usuarios ingresen el nombre de usuario y la contraseña todo el tiempo.
A menos que las aplicaciones interactúen con el Administrador de Credenciales, no creo que sea posible que utilicen las credenciales para un recurso dado. Por lo tanto, si su aplicación desea hacer uso de la bóveda, de alguna manera debería comunicarse con el administrador de credenciales y solicitar las credenciales para ese recurso desde la bóveda de almacenamiento predeterminada.
Utilice cmdkey
para enumerar las credenciales almacenadas en la máquina.
Entonces puedes usar runas
con la opción /savecred
para utilizar las credenciales guardadas. El siguiente ejemplo está llamando a un binario remoto a través de una compartición SMB.
Utilizando runas
con un conjunto de credenciales proporcionado.
Ten en cuenta que mimikatz, lazagne, credentialfileview, VaultPasswordView, o desde el módulo Empire Powershells.
DPAPI
La API de Protección de Datos (DPAPI) proporciona un método para el cifrado simétrico de datos, utilizado principalmente en el sistema operativo Windows para el cifrado simétrico de claves privadas asimétricas. Este cifrado aprovecha un secreto de usuario o de sistema para contribuir significativamente a la entropía.
DPAPI permite el cifrado de claves a través de una clave simétrica que se deriva de los secretos de inicio de sesión del usuario. En escenarios que involucran el cifrado del sistema, utiliza los secretos de autenticación de dominio del sistema.
Las claves RSA de usuario cifradas, al utilizar DPAPI, se almacenan en el directorio %APPDATA%\Microsoft\Protect\{SID}
, donde {SID}
representa el Identificador de Seguridad del usuario. La clave DPAPI, ubicada junto con la clave maestra que protege las claves privadas del usuario en el mismo archivo, típicamente consiste en 64 bytes de datos aleatorios. (Es importante tener en cuenta que el acceso a este directorio está restringido, evitando listar su contenido a través del comando dir
en CMD, aunque se puede listar a través de PowerShell).
Puedes usar el módulo mimikatz dpapi::masterkey
con los argumentos apropiados (/pvk
o /rpc
) para descifrarlo.
Los archivos de credenciales protegidos por la contraseña maestra suelen estar ubicados en:
Puedes usar el módulo mimikatz dpapi::cred
con el /masterkey
apropiado para descifrar.
Puedes extraer muchos DPAPI masterkeys de la memoria con el módulo sekurlsa::dpapi
(si eres root).
Credenciales de PowerShell
Las credenciales de PowerShell se utilizan frecuentemente para tareas de scripting y automatización como una forma de almacenar de manera conveniente credenciales encriptadas. Las credenciales están protegidas usando DPAPI, lo que típicamente significa que solo pueden ser descifradas por el mismo usuario en la misma computadora donde fueron creadas.
Para descifrar unas credenciales de PS desde el archivo que las contiene, puedes hacer:
Wifi
Wifi
Conexiones RDP Guardadas
Puedes encontrarlas en HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
y en HKCU\Software\Microsoft\Terminal Server Client\Servers\
Comandos Ejecutados Recientemente
Administrador de credenciales de Escritorio Remoto
Utiliza el módulo Mimikatz dpapi::rdg
con el /masterkey
apropiado para descifrar cualquier archivo .rdg. Puedes extraer muchos maestros DPAPI de la memoria con el módulo sekurlsa::dpapi
de Mimikatz.
Notas Adhesivas
Las personas a menudo utilizan la aplicación StickyNotes en estaciones de trabajo con Windows para guardar contraseñas y otra información, sin darse cuenta de que es un archivo de base de datos. Este archivo se encuentra en C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite
y siempre vale la pena buscarlo y examinarlo.
AppCmd.exe
Ten en cuenta que para recuperar contraseñas de AppCmd.exe necesitas ser Administrador y ejecutarlo con un nivel de Integridad Alto.
AppCmd.exe se encuentra en el directorio %systemroot%\system32\inetsrv\
.
Si este archivo existe, es posible que algunas credenciales hayan sido configuradas y puedan ser recuperadas.
Este código fue extraído de PowerUP:
SCClient / SCCM
Verifique si C:\Windows\CCM\SCClient.exe
existe.
Los instaladores se ejecutan con privilegios del SISTEMA, muchos son vulnerables a Carga lateral de DLL (Información de https://github.com/enjoiz/Privesc).
Archivos y Registro (Credenciales)
Credenciales de Putty
Claves de host SSH de Putty
Claves SSH en el registro
Las claves privadas SSH se pueden almacenar dentro de la clave del registro HKCU\Software\OpenSSH\Agent\Keys
, por lo que debes verificar si hay algo interesante allí:
Si encuentras alguna entrada dentro de esa ruta, probablemente sea una clave SSH guardada. Está almacenada encriptada pero puede ser fácilmente descifrada usando https://github.com/ropnop/windows_sshagent_extract. Más información sobre esta técnica aquí: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Si el servicio ssh-agent
no está en ejecución y deseas que se inicie automáticamente al arrancar, ejecuta:
Parece que esta técnica ya no es válida. Intenté crear algunas claves ssh, agregarlas con ssh-add
e iniciar sesión a través de ssh en una máquina. El registro HKCU\Software\OpenSSH\Agent\Keys no existe y procmon no identificó el uso de dpapi.dll
durante la autenticación de clave asimétrica.
Archivos sin supervisión
Puedes buscar estos archivos también usando metasploit: post/windows/gather/enum_unattend
Contenido de ejemplo:
Copias de seguridad de SAM y SYSTEM
Credenciales en la Nube
McAfee SiteList.xml
Busca un archivo llamado SiteList.xml
Contraseña en caché de GPP
Anteriormente estaba disponible una función que permitía la implementación de cuentas de administrador locales personalizadas en un grupo de máquinas a través de las Preferencias de Directiva de Grupo (GPP). Sin embargo, este método presentaba importantes fallos de seguridad. En primer lugar, los Objetos de Directiva de Grupo (GPOs), almacenados como archivos XML en SYSVOL, podían ser accedidos por cualquier usuario del dominio. En segundo lugar, las contraseñas dentro de estas GPPs, encriptadas con AES256 utilizando una clave predeterminada públicamente documentada, podían ser descifradas por cualquier usuario autenticado. Esto representaba un riesgo grave, ya que podía permitir a los usuarios obtener privilegios elevados.
Para mitigar este riesgo, se desarrolló una función para buscar archivos GPP en caché local que contengan un campo "cpassword" que no esté vacío. Al encontrar dicho archivo, la función descifra la contraseña y devuelve un objeto PowerShell personalizado. Este objeto incluye detalles sobre la GPP y la ubicación del archivo, lo que ayuda en la identificación y solución de esta vulnerabilidad de seguridad.
Busca en C:\ProgramData\Microsoft\Group Policy\history
o en C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (anterior a W Vista) estos archivos:
Groups.xml
Services.xml
Scheduledtasks.xml
DataSources.xml
Printers.xml
Drives.xml
Para descifrar la cPassword:
Utilizando crackmapexec para obtener las contraseñas:
Configuración web de IIS
Ejemplo de web.config con credenciales:
Credenciales de OpenVPN
Registros
Solicitar credenciales
Siempre puedes pedir al usuario que ingrese sus credenciales o incluso las credenciales de otro usuario si crees que puede conocerlas (ten en cuenta que solicitar directamente al cliente las credenciales es realmente arriesgado):
Posibles nombres de archivos que contienen credenciales
Archivos conocidos que en algún momento contenían contraseñas en texto claro o Base64
Buscar todos los archivos propuestos:
Credenciales en la Papelera de Reciclaje
También debes revisar la Papelera para buscar credenciales dentro de ella.
Para recuperar contraseñas guardadas por varios programas puedes usar: http://www.nirsoft.net/password_recovery_tools.html
Dentro del registro
Otras claves de registro posibles con credenciales
Extraer claves openssh del registro.
Historial de Navegadores
Deberías revisar las bases de datos donde se almacenan las contraseñas de Chrome o Firefox. También revisa el historial, marcadores y favoritos de los navegadores, ya que tal vez algunas contraseñas estén almacenadas allí.
Herramientas para extraer contraseñas de navegadores:
Mimikatz:
dpapi::chrome
Sobrescritura de DLL COM
Modelo de Objetos Componente (COM) es una tecnología integrada en el sistema operativo Windows que permite la intercomunicación entre componentes de software de diferentes lenguajes. Cada componente COM está identificado mediante un ID de clase (CLSID) y cada componente expone funcionalidades a través de una o más interfaces, identificadas mediante IDs de interfaz (IIDs).
Las clases e interfaces COM están definidas en el registro bajo HKEY_CLASSES_ROOT\CLSID y HKEY_CLASSES_ROOT\Interface respectivamente. Este registro se crea fusionando HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT.
Dentro de los CLSIDs de este registro puedes encontrar el subregistro hijo InProcServer32 que contiene un valor predeterminado que apunta a una DLL y un valor llamado ThreadingModel que puede ser Apartment (de un solo hilo), Free (multihilo), Both (uno o varios) o Neutral (hilo neutral).
Básicamente, si puedes sobrescribir alguna de las DLLs que van a ser ejecutadas, podrías escalar privilegios si esa DLL va a ser ejecutada por un usuario diferente.
Para aprender cómo los atacantes utilizan el Secuestro de COM como un mecanismo de persistencia, revisa:
pageCOM HijackingBúsqueda Genérica de Contraseñas en Archivos y Registro
Buscar contenido en archivos
Buscar un archivo con un nombre de archivo específico
Buscar en el registro los nombres de clave y contraseñas
Herramientas que buscan contraseñas
MSF-Credentials Plugin es un plugin de msf que he creado para ejecutar automáticamente cada módulo POST de metasploit que busca credenciales dentro de la víctima. Winpeas busca automáticamente todos los archivos que contienen contraseñas mencionadas en esta página. Lazagne es otra gran herramienta para extraer contraseñas de un sistema.
La herramienta SessionGopher busca sesiones, nombres de usuario y contraseñas de varias herramientas que guardan estos datos en texto claro (PuTTY, WinSCP, FileZilla, SuperPuTTY y RDP).
Manipuladores Filtrados
Imagina que un proceso en ejecución como SYSTEM abre un nuevo proceso (OpenProcess()
) con acceso total. El mismo proceso también crea un nuevo proceso (CreateProcess()
) con privilegios bajos pero heredando todos los manipuladores abiertos del proceso principal.
Entonces, si tienes acceso total al proceso de privilegios bajos, puedes obtener el manipulador abierto al proceso privilegiado creado con OpenProcess()
e inyectar un shellcode.
Lee este ejemplo para más información sobre cómo detectar y explotar esta vulnerabilidad.
Lee este otro post para una explicación más completa sobre cómo probar y abusar de más manipuladores abiertos de procesos y hilos heredados con diferentes niveles de permisos (no solo acceso total).
Suplantación de Cliente de Tubería con Nombre
Los segmentos de memoria compartida, conocidos como tuberías, permiten la comunicación entre procesos y la transferencia de datos.
Windows proporciona una característica llamada Tuberías con Nombre, que permite a procesos no relacionados compartir datos, incluso en diferentes redes. Esto se asemeja a una arquitectura cliente/servidor, con roles definidos como servidor de tubería con nombre y cliente de tubería con nombre.
Cuando se envían datos a través de una tubería por un cliente, el servidor que estableció la tubería tiene la capacidad de adoptar la identidad del cliente, asumiendo que tiene los derechos necesarios de SeImpersonate. Identificar un proceso privilegiado que se comunique a través de una tubería que puedas imitar brinda la oportunidad de obtener privilegios más altos al adoptar la identidad de ese proceso una vez que interactúa con la tubería que estableciste. Para obtener instrucciones sobre cómo ejecutar dicho ataque, se pueden encontrar guías útiles aquí y aquí.
Además, la siguiente herramienta permite interceptar una comunicación de tubería con nombre con una herramienta como burp: https://github.com/gabriel-sztejnworcel/pipe-intercept y esta herramienta permite listar y ver todas las tuberías para encontrar elevaciones de privilegios https://github.com/cyberark/PipeViewer
Misceláneo
Monitoreo de Líneas de Comando para contraseñas
Al obtener una shell como usuario, puede haber tareas programadas u otros procesos en ejecución que pasan credenciales en la línea de comandos. El script a continuación captura las líneas de comandos de los procesos cada dos segundos y compara el estado actual con el estado anterior, mostrando cualquier diferencia.
Robando contraseñas de procesos
De Usuario de Bajos Privilegios a NT\AUTHORITY SYSTEM (CVE-2019-1388) / Bypass de UAC
Si tienes acceso a la interfaz gráfica (a través de la consola o RDP) y UAC está habilitado, en algunas versiones de Microsoft Windows es posible ejecutar un terminal u otro proceso como "NT\AUTHORITY SYSTEM" desde un usuario no privilegiado.
Esto hace posible escalar privilegios y evadir UAC al mismo tiempo con la misma vulnerabilidad. Además, no es necesario instalar nada y el binario utilizado durante el proceso está firmado y emitido por Microsoft.
Algunos de los sistemas afectados son los siguientes:
Para explotar esta vulnerabilidad, es necesario realizar los siguientes pasos:
Tienes todos los archivos e información necesarios en el siguiente repositorio de GitHub:
https://github.com/jas502n/CVE-2019-1388
De Nivel de Integridad de Administrador a Alto / Bypass de UAC
Lee esto para aprender sobre los Niveles de Integridad:
pageIntegrity LevelsLuego lee esto para aprender sobre UAC y los bypass de UAC:
pageUAC - User Account ControlDe Alto Integridad a Sistema
Nuevo servicio
Si ya estás ejecutando un proceso de Alta Integridad, el paso a SYSTEM puede ser fácil simplemente creando y ejecutando un nuevo servicio:
AlwaysInstallElevated
Desde un proceso de alta integridad, podrías intentar habilitar las entradas del registro AlwaysInstallElevated e instalar un shell inverso usando un envoltorio .msi. Más información sobre las claves del registro involucradas y cómo instalar un paquete .msi aquí.
Privilegio High + SeImpersonate a System
Puedes encontrar el código aquí.
Desde SeDebug + SeImpersonate a privilegios de token completos
Si tienes esos privilegios de token (probablemente los encontrarás en un proceso de alta integridad), podrás abrir casi cualquier proceso (excepto procesos protegidos) con el privilegio SeDebug, copiar el token del proceso y crear un proceso arbitrario con ese token. Usar esta técnica generalmente selecciona cualquier proceso que se ejecute como SYSTEM con todos los privilegios de token (sí, puedes encontrar procesos de SYSTEM sin todos los privilegios de token). Puedes encontrar un ejemplo de código que ejecuta la técnica propuesta aquí.
Pipes Nombrados
Esta técnica es utilizada por meterpreter para escalar en getsystem
. La técnica consiste en crear un pipe y luego crear/abusar de un servicio para escribir en ese pipe. Luego, el servidor que creó el pipe usando el privilegio SeImpersonate
podrá suplantar el token del cliente del pipe (el servicio) obteniendo privilegios de SYSTEM.
Si deseas aprender más sobre pipes nombrados, deberías leer esto.
Si deseas leer un ejemplo de cómo pasar de alta integridad a System usando pipes nombrados, deberías leer esto.
Secuestro de Dll
Si logras secuestrar una dll que está siendo cargada por un proceso que se ejecuta como SYSTEM, podrás ejecutar código arbitrario con esos permisos. Por lo tanto, el Secuestro de Dll también es útil para este tipo de escalada de privilegios, y, además, es mucho más fácil de lograr desde un proceso de alta integridad ya que tendrá permisos de escritura en las carpetas utilizadas para cargar dlls. Puedes aprender más sobre el Secuestro de Dll aquí.
Desde Administrador o Servicio de Red a System
Desde SERVICIO LOCAL o SERVICIO DE RED a privilegios completos
Leer: https://github.com/itm4n/FullPowers
Más ayuda
Binarios estáticos de impacket
Herramientas útiles
La mejor herramienta para buscar vectores de escalada de privilegios locales en Windows: WinPEAS
PS
PrivescCheck
PowerSploit-Privesc(PowerUP) -- Busca configuraciones incorrectas y archivos sensibles (ver aquí). Detectado.
JAWS -- Busca posibles configuraciones incorrectas y recopila información (ver aquí).
privesc -- Busca configuraciones incorrectas
SessionGopher -- Extrae información de sesiones guardadas de PuTTY, WinSCP, SuperPuTTY, FileZilla y RDP. Usa -Thorough localmente.
Invoke-WCMDump -- Extrae credenciales del Administrador de credenciales. Detectado.
DomainPasswordSpray -- Rociar contraseñas recopiladas en todo el dominio
Inveigh -- Inveigh es una herramienta de suplantación de ADIDNS/LLMNR/mDNS/NBNS y de intermediario en PowerShell.
WindowsEnum -- Enumeración básica de Windows para escalada de privilegios
Sherlock ~~~~ -- Busca vulnerabilidades de escalada de privilegios conocidas (OBSOLETO para Watson)
WINspect -- Verificaciones locales (Necesita derechos de administrador)
Exe
Watson -- Busca vulnerabilidades de escalada de privilegios conocidas (necesita ser compilado usando VisualStudio) (precompilado)
SeatBelt -- Enumera el host en busca de configuraciones incorrectas (más una herramienta de recopilación de información que de escalada de privilegios) (necesita ser compilado) (precompilado)
LaZagne -- Extrae credenciales de muchos softwares (exe precompilado en github)
SharpUP -- Versión de PowerUp en C#
Beroot ~~~~ -- Busca configuraciones incorrectas (ejecutable precompilado en github). No recomendado. No funciona bien en Win10.
Windows-Privesc-Check -- Busca posibles configuraciones incorrectas (exe de python). No recomendado. No funciona bien en Win10.
Bat
winPEASbat -- Herramienta creada basada en este post (no necesita accesschk para funcionar correctamente pero puede usarlo).
Local
Windows-Exploit-Suggester -- Lee la salida de systeminfo y recomienda exploits funcionales (python local) Windows Exploit Suggester Next Generation -- Lee la salida de systeminfo y recomienda exploits funcionales (python local)
Meterpreter
multi/recon/local_exploit_suggestor
Debes compilar el proyecto usando la versión correcta de .NET (ver esto). Para ver la versión instalada de .NET en el host víctima, puedes hacer:
Bibliografía
Última actualización