Windows Local Privilege Escalation
Best tool to look for Windows local privilege escalation vectors: WinPEAS
Initial Windows Theory
Access Tokens
Αν δεν ξέρετε τι είναι τα Windows Access Tokens, διαβάστε την παρακάτω σελίδα πριν συνεχίσετε:
Access TokensACLs - DACLs/SACLs/ACEs
Δείτε την παρακάτω σελίδα για περισσότερες πληροφορίες σχετικά με τα ACLs - DACLs/SACLs/ACEs:
ACLs - DACLs/SACLs/ACEsIntegrity Levels
Αν δεν ξέρετε τι είναι τα integrity levels στα Windows, θα πρέπει να διαβάσετε την παρακάτω σελίδα πριν συνεχίσετε:
Integrity LevelsWindows Security Controls
Υπάρχουν διάφορα πράγματα στα Windows που θα μπορούσαν να σας εμποδίσουν να καταγράψετε το σύστημα, να εκτελέσετε εκτελέσιμα ή ακόμα και να ανιχνεύσουν τις δραστηριότητές σας. Θα πρέπει να διαβάσετε την παρακάτω σελίδα και να καταγράψετε όλους αυτούς τους μηχανισμούς άμυνας πριν ξεκινήσετε την καταγραφή της ανύψωσης προνομίων:
Windows Security ControlsSystem Info
Version info enumeration
Ελέγξτε αν η έκδοση των Windows έχει κάποια γνωστή ευπάθεια (ελέγξτε επίσης τα patches που έχουν εφαρμοστεί).
Version Exploits
Αυτή η ιστοσελίδα είναι χρήσιμη για την αναζήτηση λεπτομερών πληροφοριών σχετικά με τις ευπάθειες ασφαλείας της Microsoft. Αυτή η βάση δεδομένων έχει περισσότερες από 4,700 ευπάθειες ασφαλείας, δείχνοντας την μαζική επιφάνεια επίθεσης που παρουσιάζει ένα περιβάλλον Windows.
Στο σύστημα
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
winpeas (Winpeas έχει ενσωματωμένο το watson)
Τοπικά με πληροφορίες συστήματος
Github repos των exploits:
Περιβάλλον
Υπάρχουν διαπιστευτήρια/ζουμερές πληροφορίες αποθηκευμένες στις μεταβλητές περιβάλλοντος;
Ιστορικό PowerShell
PowerShell Transcript files
Μπορείτε να μάθετε πώς να το ενεργοποιήσετε στο https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
PowerShell Module Logging
Οι λεπτομέρειες των εκτελέσεων της PowerShell pipeline καταγράφονται, περιλαμβάνοντας εκτελούμενες εντολές, κλήσεις εντολών και μέρη σεναρίων. Ωστόσο, οι πλήρεις λεπτομέρειες εκτέλεσης και τα αποτελέσματα εξόδου ενδέχεται να μην καταγράφονται.
Για να το ενεργοποιήσετε, ακολουθήστε τις οδηγίες στην ενότητα "Transcript files" της τεκμηρίωσης, επιλέγοντας "Module Logging" αντί για "Powershell Transcription".
Για να δείτε τα τελευταία 15 γεγονότα από τα αρχεία καταγραφής του PowersShell, μπορείτε να εκτελέσετε:
PowerShell Script Block Logging
Ένα πλήρες αρχείο δραστηριότητας και πλήρες περιεχόμενο της εκτέλεσης του script καταγράφεται, διασφαλίζοντας ότι κάθε μπλοκ κώδικα τεκμηριώνεται καθώς εκτελείται. Αυτή η διαδικασία διατηρεί ένα ολοκληρωμένο ίχνος ελέγχου κάθε δραστηριότητας, πολύτιμο για τη forensic ανάλυση και την ανάλυση κακόβουλης συμπεριφοράς. Με την τεκμηρίωση όλων των δραστηριοτήτων τη στιγμή της εκτέλεσης, παρέχονται λεπτομερείς πληροφορίες για τη διαδικασία.
Τα γεγονότα καταγραφής για το Script Block μπορούν να βρεθούν μέσα στον Windows Event Viewer στη διαδρομή: Application and Services Logs > Microsoft > Windows > PowerShell > Operational. Για να δείτε τα τελευταία 20 γεγονότα μπορείτε να χρησιμοποιήσετε:
Ρυθμίσεις Διαδικτύου
Δίσκοι
WSUS
Μπορείτε να παραβιάσετε το σύστημα αν οι ενημερώσεις δεν ζητούνται χρησιμοποιώντας httpS αλλά http.
Ξεκινάτε ελέγχοντας αν το δίκτυο χρησιμοποιεί μια μη SSL ενημέρωση WSUS εκτελώντας το εξής:
Αν λάβετε μια απάντηση όπως:
And if HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
is equals to 1
.
Then, είναι εκμεταλλεύσιμο. If the last registry is equals to 0, then, the WSUS entry will be ignored.
In orther to exploit this vulnerabilities you can use tools like: Wsuxploit, pyWSUS - These are MiTM weaponized exploits scripts to inject 'fake' updates into non-SSL WSUS traffic.
Read the research here:
WSUS CVE-2020-1013
Διαβάστε την πλήρη αναφορά εδώ. Basically, this is the flaw that this bug exploits:
If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet Explorer’s settings, we therefore have the power to run PyWSUS locally to intercept our own traffic and run code as an elevated user on our asset.
Furthermore, since the WSUS service uses the current user’s settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current user’s certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service.
You can exploit this vulnerability using the tool WSUSpicious (once it's liberated).
KrbRelayUp
A τοπική εκμετάλλευση προνομίων vulnerability exists in Windows domain environments under specific conditions. These conditions include environments where LDAP signing is not enforced, users possess self-rights allowing them to configure Resource-Based Constrained Delegation (RBCD), and the capability for users to create computers within the domain. It is important to note that these requirements are met using default settings.
Find the exploit in https://github.com/Dec0ne/KrbRelayUp
For more information about the flow of the attack check https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
AlwaysInstallElevated
Εάν these 2 registers are enabled (value is 0x1), then users of any privilege can install (execute) *.msi
files as NT AUTHORITY\SYSTEM.
Metasploit payloads
Αν έχετε μια συνεδρία meterpreter, μπορείτε να αυτοματοποιήσετε αυτή την τεχνική χρησιμοποιώντας το module exploit/windows/local/always_install_elevated
PowerUP
Χρησιμοποιήστε την εντολή Write-UserAddMSI
από το power-up για να δημιουργήσετε μέσα στον τρέχοντα φάκελο ένα Windows MSI δυαδικό αρχείο για την κλιμάκωση δικαιωμάτων. Αυτό το σενάριο γράφει έναν προcompiled MSI εγκαταστάτη που ζητάει προσθήκη χρήστη/ομάδας (έτσι θα χρειαστείτε πρόσβαση GIU):
Απλώς εκτελέστε το δημιουργημένο δυαδικό αρχείο για να κλιμακώσετε τα δικαιώματα.
MSI Wrapper
Διαβάστε αυτό το εγχειρίδιο για να μάθετε πώς να δημιουργήσετε ένα MSI wrapper χρησιμοποιώντας αυτά τα εργαλεία. Σημειώστε ότι μπορείτε να τυλίξετε ένα ".bat" αρχείο αν απλώς θέλετε να εκτελέσετε γραμμές εντολών.
MSI WrapperCreate MSI with WIX
Create MSI with WIXCreate MSI with Visual Studio
Δημιουργήστε με το Cobalt Strike ή το Metasploit ένα νέο Windows EXE TCP payload στο
C:\privesc\beacon.exe
Ανοίξτε το Visual Studio, επιλέξτε Δημιουργία νέου έργου και πληκτρολογήστε "installer" στο πλαίσιο αναζήτησης. Επιλέξτε το έργο Setup Wizard και κάντε κλικ στο Επόμενο.
Δώστε στο έργο ένα όνομα, όπως AlwaysPrivesc, χρησιμοποιήστε
C:\privesc
για την τοποθεσία, επιλέξτε τοποθετήστε τη λύση και το έργο στον ίδιο φάκελο, και κάντε κλικ στο Δημιουργία.Συνεχίστε να κάνετε κλικ στο Επόμενο μέχρι να φτάσετε στο βήμα 3 από 4 (επιλέξτε αρχεία προς συμπερίληψη). Κάντε κλικ στο Προσθήκη και επιλέξτε το Beacon payload που μόλις δημιουργήσατε. Στη συνέχεια, κάντε κλικ στο Τέλος.
Επισημάνετε το έργο AlwaysPrivesc στο Solution Explorer και στις Ιδιότητες, αλλάξτε το TargetPlatform από x86 σε x64.
Υπάρχουν άλλες ιδιότητες που μπορείτε να αλλάξετε, όπως ο Συγγραφέας και ο Κατασκευαστής που μπορούν να κάνουν την εγκατεστημένη εφαρμογή να φαίνεται πιο νόμιμη.
Κάντε δεξί κλικ στο έργο και επιλέξτε Προβολή > Προσαρμοσμένες Ενέργειες.
Κάντε δεξί κλικ στο Εγκατάσταση και επιλέξτε Προσθήκη Προσαρμοσμένης Ενέργειας.
Κάντε διπλό κλικ στο Φάκελο Εφαρμογής, επιλέξτε το αρχείο beacon.exe σας και κάντε κλικ στο OK. Αυτό θα διασφαλίσει ότι το beacon payload εκτελείται μόλις εκτελείται ο εγκαταστάτης.
Κάτω από τις Ιδιότητες Προσαρμοσμένης Ενέργειας, αλλάξτε το Run64Bit σε True.
Τέλος, κατασκευάστε το.
Αν εμφανιστεί η προειδοποίηση
File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86'
, βεβαιωθείτε ότι έχετε ρυθμίσει την πλατφόρμα σε x64.
MSI Installation
Για να εκτελέσετε την εγκατάσταση του κακόβουλου αρχείου .msi
στο παρασκήνιο:
Για να εκμεταλλευτείτε αυτήν την ευπάθεια μπορείτε να χρησιμοποιήσετε: exploit/windows/local/always_install_elevated
Antivirus και Ανιχνευτές
Ρυθμίσεις Ελέγχου
Αυτές οι ρυθμίσεις αποφασίζουν τι καταγράφεται, οπότε θα πρέπει να δώσετε προσοχή
WEF
Η Προώθηση Συμβάντων των Windows είναι ενδιαφέρον να γνωρίζουμε πού αποστέλλονται τα αρχεία καταγραφής.
LAPS
LAPS έχει σχεδιαστεί για τη διαχείριση των τοπικών κωδικών πρόσβασης διαχειριστή, διασφαλίζοντας ότι κάθε κωδικός είναι μοναδικός, τυχαίος και ενημερώνεται τακτικά σε υπολογιστές που είναι συνδεδεμένοι σε τομέα. Αυτοί οι κωδικοί αποθηκεύονται με ασφάλεια μέσα στο Active Directory και μπορούν να προσπελαστούν μόνο από χρήστες που έχουν λάβει επαρκείς άδειες μέσω ACLs, επιτρέποντάς τους να δουν τους τοπικούς κωδικούς πρόσβασης διαχειριστή αν είναι εξουσιοδοτημένοι.
LAPSWDigest
Αν είναι ενεργό, οι κωδικοί πρόσβασης σε απλό κείμενο αποθηκεύονται στο LSASS (Local Security Authority Subsystem Service). Περισσότερες πληροφορίες σχετικά με το WDigest σε αυτή τη σελίδα.
LSA Protection
Αρχής γενομένης από το Windows 8.1, η Microsoft εισήγαγε ενισχυμένη προστασία για την Τοπική Αρχή Ασφαλείας (LSA) για να μπλοκάρει τις απόπειρες από μη αξιόπιστες διαδικασίες να διαβάσουν τη μνήμη της ή να εισάγουν κώδικα, ενισχύοντας περαιτέρω την ασφάλεια του συστήματος. Περισσότερες πληροφορίες σχετικά με την προστασία LSA εδώ.
Credentials Guard
Credential Guard εισήχθη στα Windows 10. Σκοπός του είναι να προστατεύει τα διαπιστευτήρια που αποθηκεύονται σε μια συσκευή από απειλές όπως οι επιθέσεις pass-the-hash.| Περισσότερες πληροφορίες σχετικά με το Credentials Guard εδώ.
Cached Credentials
Τα διαπιστευτήρια τομέα πιστοποιούνται από την Τοπική Αρχή Ασφαλείας (LSA) και χρησιμοποιούνται από τα συστατικά του λειτουργικού συστήματος. Όταν τα δεδομένα σύνδεσης ενός χρήστη πιστοποιούνται από ένα καταχωρημένο πακέτο ασφαλείας, τα διαπιστευτήρια τομέα για τον χρήστη συνήθως καθορίζονται. Περισσότερες πληροφορίες σχετικά με τα Cached Credentials εδώ.
Χρήστες & Ομάδες
Καταμέτρηση Χρηστών & Ομάδων
Πρέπει να ελέγξετε αν κάποιες από τις ομάδες στις οποίες ανήκετε έχουν ενδιαφέροντα δικαιώματα
Privileged groups
Αν ανήκεις σε κάποια προνομιούχα ομάδα μπορεί να είσαι σε θέση να κλιμακώσεις τα προνόμια. Μάθε για τις προνομιούχες ομάδες και πώς να τις εκμεταλλευτείς για να κλιμακώσεις τα προνόμια εδώ:
Privileged GroupsToken manipulation
Μάθε περισσότερα για το τι είναι ένα token σε αυτή τη σελίδα: Windows Tokens. Δες την παρακάτω σελίδα για να μάθεις για ενδιαφέροντα tokens και πώς να τα εκμεταλλευτείς:
Abusing TokensLogged users / Sessions
Φάκελοι αρχικής σελίδας
Πολιτική Κωδικών Πρόσβασης
Πάρτε το περιεχόμενο του clipboard
Running Processes
File and Folder Permissions
Πρώτα απ' όλα, καταγράψτε τις διαδικασίες ελέγξτε για κωδικούς πρόσβασης μέσα στη γραμμή εντολών της διαδικασίας. Ελέγξτε αν μπορείτε να επικαλύψετε κάποιο εκτελέσιμο που τρέχει ή αν έχετε δικαιώματα εγγραφής στον φάκελο του εκτελέσιμου για να εκμεταλλευτείτε πιθανές DLL Hijacking attacks:
Πάντα να ελέγχετε για πιθανές electron/cef/chromium debuggers που εκτελούνται, μπορείτε να το εκμεταλλευτείτε για να αυξήσετε τα δικαιώματα σας.
Έλεγχος δικαιωμάτων των δυαδικών αρχείων διεργασιών
Έλεγχος δικαιωμάτων των φακέλων των δυαδικών αρχείων διεργασιών (DLL Hijacking)
Memory Password mining
Μπορείτε να δημιουργήσετε μια απόθεση μνήμης μιας εκτελούμενης διαδικασίας χρησιμοποιώντας το procdump από το sysinternals. Υπηρεσίες όπως το FTP έχουν τα credentials σε καθαρό κείμενο στη μνήμη, προσπαθήστε να αποθέσετε τη μνήμη και να διαβάσετε τα credentials.
Insecure GUI apps
Εφαρμογές που εκτελούνται ως SYSTEM μπορεί να επιτρέψουν σε έναν χρήστη να ανοίξει ένα CMD ή να περιηγηθεί σε καταλόγους.
Example: "Windows Help and Support" (Windows + F1), search for "command prompt", click on "Click to open Command Prompt"
Services
Get a list of services:
Permissions
Μπορείτε να χρησιμοποιήσετε sc για να αποκτήσετε πληροφορίες σχετικά με μια υπηρεσία
Συνιστάται να έχετε το δυαδικό accesschk από το Sysinternals για να ελέγξετε το απαιτούμενο επίπεδο δικαιωμάτων για κάθε υπηρεσία.
Συνιστάται να ελέγξετε αν οι "Επικυρωμένοι Χρήστες" μπορούν να τροποποιήσουν οποιαδήποτε υπηρεσία:
Μπορείτε να κατεβάσετε το accesschk.exe για XP από εδώ
Ενεργοποίηση υπηρεσίας
Αν έχετε αυτό το σφάλμα (για παράδειγμα με το SSDPSRV):
Σφάλμα συστήματος 1058 έχει συμβεί. Η υπηρεσία δεν μπορεί να ξεκινήσει, είτε επειδή είναι απενεργοποιημένη είτε επειδή δεν έχει ενεργοποιημένες συσκευές που σχετίζονται με αυτήν.
Μπορείτε να την ενεργοποιήσετε χρησιμοποιώντας
Λάβετε υπόψη ότι η υπηρεσία upnphost εξαρτάται από το SSDPSRV για να λειτουργήσει (για XP SP1)
Μια άλλη λύση σε αυτό το πρόβλημα είναι η εκτέλεση:
Τροποποίηση διαδρομής δυαδικού αρχείου υπηρεσίας
Στο σενάριο όπου η ομάδα "Επικυρωμένοι χρήστες" κατέχει SERVICE_ALL_ACCESS σε μια υπηρεσία, είναι δυνατή η τροποποίηση του εκτελέσιμου δυαδικού αρχείου της υπηρεσίας. Για να τροποποιήσετε και να εκτελέσετε sc:
Επανεκκίνηση υπηρεσίας
Privileges can be escalated through various permissions:
SERVICE_CHANGE_CONFIG: Επιτρέπει την επαναδιαμόρφωση του δυαδικού αρχείου της υπηρεσίας.
WRITE_DAC: Ενεργοποιεί την επαναδιαμόρφωση των δικαιωμάτων, οδηγώντας στην ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
WRITE_OWNER: Επιτρέπει την απόκτηση ιδιοκτησίας και την επαναδιαμόρφωση των δικαιωμάτων.
GENERIC_WRITE: Κληρονομεί την ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
GENERIC_ALL: Επίσης κληρονομεί την ικανότητα αλλαγής των ρυθμίσεων της υπηρεσίας.
For the detection and exploitation of this vulnerability, the exploit/windows/local/service_permissions can be utilized.
Services binaries weak permissions
Check if you can modify the binary that is executed by a service or if you have write permissions on the folder where the binary is located (DLL Hijacking). You can get every binary that is executed by a service using wmic (not in system32) and check your permissions using icacls:
Μπορείτε επίσης να χρησιμοποιήσετε sc και icacls:
Υπηρεσίες μητρώου τροποποίηση δικαιωμάτων
Πρέπει να ελέγξετε αν μπορείτε να τροποποιήσετε οποιοδήποτε μητρώο υπηρεσίας. Μπορείτε να ελέγξετε τα δικαιώματά σας πάνω σε ένα μητρώο υπηρεσίας κάνοντας:
Πρέπει να ελεγχθεί αν οι Authenticated Users ή οι NT AUTHORITY\INTERACTIVE διαθέτουν δικαιώματα FullControl
. Αν ναι, το δυαδικό αρχείο που εκτελείται από την υπηρεσία μπορεί να τροποποιηθεί.
Για να αλλάξετε τη διαδρομή του εκτελούμενου δυαδικού αρχείου:
Υπηρεσίες μητρώου δικαιώματα AppendData/AddSubdirectory
Αν έχετε αυτό το δικαίωμα σε ένα μητρώο, αυτό σημαίνει ότι μπορείτε να δημιουργήσετε υπομητρώα από αυτό. Στην περίπτωση των υπηρεσιών Windows, αυτό είναι αρκετό για να εκτελέσετε αυθαίρετο κώδικα:
AppendData/AddSubdirectory permission over service registryΜη αναφερόμενες διαδρομές υπηρεσιών
Αν η διαδρομή προς ένα εκτελέσιμο δεν είναι μέσα σε εισαγωγικά, τα Windows θα προσπαθήσουν να εκτελέσουν κάθε τερματισμό πριν από ένα κενό.
Για παράδειγμα, για τη διαδρομή C:\Program Files\Some Folder\Service.exe τα Windows θα προσπαθήσουν να εκτελέσουν:
Λίστα όλων των μη παρατεθειμένων διαδρομών υπηρεσιών, εξαιρώντας αυτές που ανήκουν σε ενσωματωμένες υπηρεσίες των Windows:
Μπορείτε να ανιχνεύσετε και να εκμεταλλευτείτε αυτήν την ευπάθεια με το metasploit: exploit/windows/local/trusted\_service\_path
Μπορείτε να δημιουργήσετε χειροκίνητα ένα δυαδικό αρχείο υπηρεσίας με το metasploit:
Recovery Actions
Τα Windows επιτρέπουν στους χρήστες να καθορίσουν ενέργειες που θα ληφθούν εάν μια υπηρεσία αποτύχει. Αυτή η δυνατότητα μπορεί να ρυθμιστεί ώστε να δείχνει σε ένα δυαδικό αρχείο. Εάν αυτό το δυαδικό αρχείο είναι αντικαταστάσιμο, η εκμετάλλευση δικαιωμάτων μπορεί να είναι δυνατή. Περισσότερες λεπτομέρειες μπορούν να βρεθούν στην επίσημη τεκμηρίωση.
Applications
Installed Applications
Ελέγξτε τα δικαιώματα των δυαδικών αρχείων (ίσως μπορείτε να αντικαταστήσετε ένα και να εκμεταλλευτείτε τα δικαιώματα) και των φακέλων (DLL Hijacking).
Δικαιώματα Εγγραφής
Ελέγξτε αν μπορείτε να τροποποιήσετε κάποιο αρχείο ρυθμίσεων για να διαβάσετε κάποιο ειδικό αρχείο ή αν μπορείτε να τροποποιήσετε κάποιο δυαδικό αρχείο που πρόκειται να εκτελεστεί από έναν λογαριασμό Διαχειριστή (schedtasks).
Ένας τρόπος για να βρείτε αδύναμα δικαιώματα φακέλων/αρχείων στο σύστημα είναι να κάνετε:
Run at startup
Ελέγξτε αν μπορείτε να αντικαταστήσετε κάποιο μητρώο ή δυαδικό αρχείο που πρόκειται να εκτελεστεί από διαφορετικό χρήστη. Διαβάστε την παρακάτω σελίδα για να μάθετε περισσότερα σχετικά με ενδιαφέροντα σημεία autoruns για την κλιμάκωση δικαιωμάτων:
Privilege Escalation with AutorunsDrivers
Αναζητήστε πιθανούς τρίτους παράξενους/ευάλωτους οδηγούς
PATH DLL Hijacking
Αν έχετε δικαιώματα εγγραφής μέσα σε έναν φάκελο που είναι παρών στο PATH θα μπορούσατε να είστε σε θέση να υποκλέψετε μια DLL που φορτώνεται από μια διαδικασία και να κλιμακώσετε τα δικαιώματα.
Ελέγξτε τα δικαιώματα όλων των φακέλων μέσα στο PATH:
Για περισσότερες πληροφορίες σχετικά με το πώς να εκμεταλλευτείτε αυτόν τον έλεγχο:
Writable Sys Path +Dll Hijacking PrivescΔίκτυο
Κοινές Χρήσεις
hosts file
Ελέγξτε για άλλους γνωστούς υπολογιστές που είναι σκληρά κωδικοποιημένοι στο αρχείο hosts
Διεπαφές Δικτύου & DNS
Ανοιχτές Θύρες
Έλεγχος για περιορισμένες υπηρεσίες από το εξωτερικό
Πίνακας Δρομολόγησης
Πίνακας ARP
Κανόνες Τείχους Προστασίας
Ελέγξτε αυτή τη σελίδα για εντολές σχετικές με το Τείχος Προστασίας (λίστα κανόνων, δημιουργία κανόνων, απενεργοποίηση, απενεργοποίηση...)
Περισσότερες εντολές για την αναγνώριση δικτύου εδώ