Windows Local Privilege Escalation
Najlepsze narzędzie do szukania wektorów eskalacji uprawnień lokalnych w systemie Windows: WinPEAS
Początkowa teoria dotycząca systemu Windows
Tokeny dostępu
Jeśli nie wiesz, co to są tokeny dostępu w systemie Windows, przeczytaj następującą stronę, zanim będziesz kontynuować:
pageAccess TokensACLs - DACLs/SACLs/ACEs
Sprawdź następującą stronę, aby uzyskać więcej informacji na temat ACLs - DACLs/SACLs/ACEs:
pageACLs - DACLs/SACLs/ACEsPoziomy integralności
Jeśli nie wiesz, co to są poziomy integralności w systemie Windows, powinieneś przeczytać następującą stronę, zanim będziesz kontynuować:
pageIntegrity LevelsKontrole bezpieczeństwa systemu Windows
W systemie Windows istnieje wiele rzeczy, które mogą uniemożliwić Ci wyliczenie systemu, uruchomienie plików wykonywalnych lub nawet wykrycie Twoich działań. Powinieneś przeczytać następującą stronę i wyliczyć wszystkie te mechanizmy obronne przed rozpoczęciem wyliczania eskalacji uprawnień:
pageWindows Security ControlsInformacje o systemie
Wyliczenie informacji o wersji
Sprawdź, czy wersja systemu Windows ma jakieś znane podatności (sprawdź również zastosowane łatki).
Wykorzystanie wersji
Ta strona jest przydatna do wyszukiwania szczegółowych informacji na temat podatności związanych z bezpieczeństwem Microsoftu. Ta baza danych zawiera ponad 4 700 podatności związanych z bezpieczeństwem, pokazując ogromną powierzchnię ataku, jaką prezentuje środowisko Windows.
Na systemie
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
winpeas (Winpeas ma wbudowany watson)
Lokalnie z informacjami systemowymi
Repozytoria Github z eksploitami:
Środowisko
Czy jakiekolwiek dane uwierzytelniające/cenne informacje są zapisane w zmiennych środowiskowych?
Historia PowerShell
Pliki transkryptów PowerShell
Możesz dowiedzieć się, jak to włączyć pod adresem https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
Logowanie modułu PowerShell
Szczegóły wykonania potoku PowerShell są rejestrowane, obejmując wykonane polecenia, wywołania poleceń i części skryptów. Jednakże pełne szczegóły wykonania i wyniki wyjściowe mogą nie zostać uchwycone.
Aby to włączyć, postępuj zgodnie z instrukcjami w sekcji "Pliki z zapisem" dokumentacji, wybierając "Logowanie modułu" zamiast "Transkrypcji Powershell".
Aby wyświetlić ostatnie 15 zdarzeń z dziennika zdarzeń PowersShell, możesz wykonać:
PowerShell Logowanie bloków skryptów
Zapisywana jest kompletna aktywność i pełna treść wykonania skryptu, zapewniając, że każdy blok kodu jest udokumentowany podczas jego działania. Ten proces zachowuje kompleksowy ślad audytowy każdej aktywności, cenny do celów śledczych i analizy złośliwego zachowania. Dokumentując całą aktywność w czasie wykonania, zapewniane są szczegółowe wglądy w proces.
Rejestrowanie zdarzeń dla bloku skryptów można znaleźć w Podglądzie zdarzeń systemu Windows pod ścieżką: Dzienniki aplikacji i usług > Microsoft > Windows > PowerShell > Operacyjne. Aby wyświetlić ostatnie 20 zdarzeń, można użyć:
Ustawienia internetowe
Napędy
WSUS
Możesz skompromitować system, jeśli aktualizacje nie są żądane za pomocą protokołu httpS, ale http.
Zacznij od sprawdzenia, czy sieć używa aktualizacji WSUS bez SSL, uruchamiając:
Jeśli otrzymasz odpowiedź w stylu:
I jeśli HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer
jest równe 1
.
Wtedy, jest podatne na eksploatację. Jeśli ostatni rejestr jest równy 0, to wpis WSUS zostanie zignorowany.
Aby wykorzystać te podatności, można użyć narzędzi takich jak: Wsuxploit, pyWSUS - Są to zbrojne skrypty eksploitów typu MiTM do wstrzykiwania 'fałszywych' aktualizacji do ruchu WSUS bez SSL.
Przeczytaj badania tutaj:
WSUS CVE-2020-1013
Przeczytaj pełny raport tutaj. W zasadzie, to jest błąd, który eksploatuje ta luka:
Jeśli mamy możliwość modyfikacji lokalnego proxy użytkownika i Windows Update używa skonfigurowanego w ustawieniach Internet Explorera proxy, mamy zatem możliwość uruchomienia PyWSUS lokalnie, aby przechwycić własny ruch i uruchomić kod jako użytkownik z podwyższonymi uprawnieniami na naszym zasobie.
Ponadto, ponieważ usługa WSUS używa ustawień bieżącego użytkownika, będzie również używać jego magazynu certyfikatów. Jeśli wygenerujemy samopodpisany certyfikat dla nazwy hosta WSUS i dodamy ten certyfikat do magazynu certyfikatów bieżącego użytkownika, będziemy mogli przechwycić zarówno ruch WSUS HTTP, jak i HTTPS. WSUS nie korzysta z mechanizmów podobnych do HSTS do wprowadzenia walidacji typu zaufanie przy pierwszym użyciu certyfikatu. Jeśli certyfikat przedstawiony jest zaufany przez użytkownika i ma poprawną nazwę hosta, zostanie zaakceptowany przez usługę.
Można wykorzystać tę podatność za pomocą narzędzia WSUSpicious (gdy zostanie udostępnione).
KrbRelayUp
Istnieje podatność na lokalne eskalacje uprawnień w środowiskach Windows domenowych pod określonymi warunkami. Warunki te obejmują środowiska, w których podpisywanie LDAP nie jest wymuszone, użytkownicy posiadają uprawnienia do konfigurowania delegacji ograniczonej opartej na zasobach (RBCD), oraz możliwość tworzenia komputerów w domenie. Ważne jest zauważenie, że te wymagania są spełnione przy użyciu ustawień domyślnych.
Znajdź eksploit w https://github.com/Dec0ne/KrbRelayUp
Aby uzyskać więcej informacji na temat przebiegu ataku, sprawdź https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
AlwaysInstallElevated
Jeśli te 2 rejestry są włączone (wartość to 0x1), to użytkownicy dowolnych uprawnień mogą instalować (wykonywać) pliki *.msi
jako NT AUTHORITY\SYSTEM.
Ładunki Metasploit
Jeśli masz sesję meterpreter, możesz zautomatyzować tę technikę, używając modułu exploit/windows/local/always_install_elevated
PowerUP
Użyj polecenia Write-UserAddMSI
z power-up, aby utworzyć w bieżącym katalogu binarny plik Windows MSI do eskalacji uprawnień. Ten skrypt zapisuje skompilatora wcześniej zainstalowanego instalatora MSI, który prosi o dodanie użytkownika/grupy (więc będziesz potrzebować dostępu do GUI):
Wykonaj utworzony plik binarny, aby uzyskać podwyższone uprawnienia.
Opakowanie MSI
Przeczytaj ten samouczek, aby dowiedzieć się, jak utworzyć opakowanie MSI za pomocą tych narzędzi. Zauważ, że możesz opakować plik ".bat" jeśli chcesz tylko wykonać polecenia wiersza poleceń
pageMSI WrapperUtwórz MSI za pomocą WIX
pageCreate MSI with WIXUtwórz MSI za pomocą Visual Studio
Generuj za pomocą Cobalt Strike lub Metasploit nowy ładunek TCP EXE systemu Windows w
C:\privesc\beacon.exe
Otwórz Visual Studio, wybierz Utwórz nowy projekt i wpisz "installer" w pole wyszukiwania. Wybierz projekt Kreatora instalacji i kliknij Dalej.
Nadaj projektowi nazwę, np. AlwaysPrivesc, użyj
C:\privesc
jako lokalizacji, wybierz umieść rozwiązanie i projekt w tym samym katalogu, a następnie kliknij Utwórz.Klikaj Dalej aż do kroku 3 z 4 (wybierz pliki do dołączenia). Kliknij Dodaj i wybierz ładunek Beacon, który właśnie wygenerowałeś. Następnie kliknij Zakończ.
Zaznacz projekt AlwaysPrivesc w Eksploratorze rozwiązań i w Właściwościach zmień TargetPlatform z x86 na x64.
Możesz zmienić inne właściwości, takie jak Autor i Producent, co może sprawić, że zainstalowana aplikacja będzie wyglądać bardziej legalnie.
Kliknij prawym przyciskiem myszy na projekcie i wybierz Widok > Działania niestandardowe.
Kliknij prawym przyciskiem myszy Zainstaluj i wybierz Dodaj działanie niestandardowe.
Dwukrotnie kliknij na Folder aplikacji, wybierz plik beacon.exe i kliknij OK. Zapewni to, że ładunek Beacon zostanie wykonany zaraz po uruchomieniu instalatora.
W Właściwościach działania niestandardowego zmień Run64Bit na True.
Na koniec zbuduj to.
Jeśli pojawi się ostrzeżenie
Plik 'beacon-tcp.exe' kierujący do 'x64' nie jest zgodny z platformą docelową projektu 'x86'
, upewnij się, że ustawiasz platformę na x64.
Instalacja MSI
Aby wykonać instalację złośliwego pliku .msi
w tle:
Aby wykorzystać tę podatność, możesz użyć: exploit/windows/local/always_install_elevated
Programy antywirusowe i detektory
Ustawienia audytu
Te ustawienia decydują, co jest rejestrowane, dlatego powinieneś zwrócić uwagę
WEF
Windows Event Forwarding, jest interesujące wiedzieć, gdzie są wysyłane dzienniki.
LAPS
LAPS został zaprojektowany do zarządzania hasłami lokalnego administratora, zapewniając, że każde hasło jest unikalne, zrandomizowane i regularnie aktualizowane na komputerach dołączonych do domeny. Te hasła są bezpiecznie przechowywane w Active Directory i mogą być dostępne tylko przez użytkowników, którzy otrzymali wystarczające uprawnienia poprzez listy ACL, pozwalając im na przeglądanie haseł lokalnych administratorów, jeśli są autoryzowani.
pageLAPSWDigest
Jeśli jest aktywny, hasła w postaci tekstu jawnego są przechowywane w LSASS (Local Security Authority Subsystem Service). Więcej informacji o WDigest na tej stronie.
Ochrona LSA
Począwszy od systemu Windows 8.1, Microsoft wprowadził zwiększoną ochronę dla Lokalnego Organu Bezpieczeństwa (LSA), aby zablokować próby niezaufanych procesów odczytu jego pamięci lub wstrzyknięcia kodu, dodatkowo zabezpieczając system. Więcej informacji na temat Ochrony LSA tutaj.
Ochrona poświadczeń
Ochrona poświadczeń została wprowadzona w systemie Windows 10. Jej celem jest ochrona przechowywanych na urządzeniu poświadczeń przed zagrożeniami, takimi jak ataki typu pass-the-hash.| Więcej informacji na temat Ochrony poświadczeń tutaj.
Zachowane dane uwierzytelniające
Dane uwierzytelniające domeny są uwierzytelniane przez Lokalny Władzę Bezpieczeństwa (LSA) i wykorzystywane przez komponenty systemu operacyjnego. Gdy dane logowania użytkownika są uwierzytelniane przez zarejestrowany pakiet zabezpieczeń, zazwyczaj ustanawiane są dane uwierzytelniające domeny dla użytkownika. Więcej informacji na temat zachowanych danych uwierzytelniających tutaj.
Użytkownicy i Grupy
Wyliczanie Użytkowników i Grup
Należy sprawdzić, czy jakiekolwiek z grup, do których należysz, mają interesujące uprawnienia.
Grupy uprzywilejowane
Jeśli należysz do jakiejś grupy uprzywilejowanej, możesz mieć możliwość eskalacji uprawnień. Dowiedz się więcej o grupach uprzywilejowanych i jak je wykorzystać do eskalacji uprawnień tutaj:
pagePrivileged GroupsManipulacja tokenem
Dowiedz się więcej, czym jest token na tej stronie: Tokeny systemu Windows. Sprawdź następną stronę, aby dowiedzieć się więcej o interesujących tokenach i jak je wykorzystać:
pageAbusing TokensZalogowani użytkownicy / Sesje
Foldery domowe
Polityka hasła
Pobierz zawartość schowka
Uruchamianie procesów
Uprawnienia plików i folderów
Po pierwsze, wypisanie procesów sprawdza hasła w wierszu polecenia procesu. Sprawdź, czy możesz nadpisać pewien działający plik binarny lub czy masz uprawnienia do zapisu folderu z plikami binarnymi, aby wykorzystać ewentualne ataki przechwytywania DLL:
Zawsze sprawdzaj, czy są uruchomione możliwe debuggery electron/cef/chromium, możesz je wykorzystać do eskalacji uprawnień.
Sprawdzanie uprawnień binarnych procesów
Sprawdzanie uprawnień folderów binarnych procesów (****Przechwytywanie DLL)**
Wydobywanie haseł z pamięci
Możesz utworzyć zrzut pamięci działającego procesu za pomocą procdump z sysinternals. Usługi takie jak FTP mają poświadczenia w postaci zwykłego tekstu w pamięci, spróbuj wykonać zrzut pamięci i odczytać poświadczenia.
Niestabilne aplikacje GUI
Aplikacje działające jako SYSTEM mogą umożliwić użytkownikowi uruchomienie CMD lub przeglądanie katalogów.
Przykład: "Pomoc i obsługa techniczna systemu Windows" (Windows + F1), wyszukaj "wiersz polecenia", kliknij "Kliknij, aby otworzyć wiersz polecenia"
Usługi
Pobierz listę usług:
Uprawnienia
Możesz użyć sc, aby uzyskać informacje o usłudze
Zaleca się posiadanie binarnej aplikacji accesschk z Sysinternals, aby sprawdzić wymagany poziom uprawnień dla każdej usługi.
Zaleca się sprawdzenie, czy "Użytkownicy uwierzytelnieni" mogą modyfikować jakikolwiek usługę:
Możesz pobrać accesschk.exe dla systemu XP tutaj
Włącz usługę
Jeśli masz ten błąd (na przykład z SSDPSRV):
System error 1058 has occurred. The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.
Możesz go włączyć, używając
Należy pamiętać, że usługa upnphost zależy od SSDPSRV, aby działać (dla XP SP1)
Innym rozwiązaniem tego problemu jest uruchomienie:
Modyfikacja ścieżki binarnej usługi
W przypadku, gdy grupa "Użytkownicy uwierzytelnieni" posiada SERVICE_ALL_ACCESS do usługi, możliwa jest modyfikacja wykonywalnego pliku binarnego usługi. Aby zmodyfikować i uruchomić sc:
Uruchom ponownie usługę
Uprawnienia można eskalować poprzez różne uprawnienia:
SERVICE_CHANGE_CONFIG: Pozwala na ponowną konfigurację binariów usługi.
WRITE_DAC: Umożliwia ponowną konfigurację uprawnień, co prowadzi do możliwości zmiany konfiguracji usługi.
WRITE_OWNER: Umożliwia przejęcie własności i ponowną konfigurację uprawnień.
GENERIC_WRITE: Dziedziczy zdolność do zmiany konfiguracji usługi.
GENERIC_ALL: Dziedziczy również zdolność do zmiany konfiguracji usługi.
Do wykrywania i eksploatacji tej podatności można wykorzystać exploit/windows/local/service_permissions.
Słabe uprawnienia binariów usług
Sprawdź, czy możesz modyfikować binaria, który jest wykonywany przez usługę lub czy masz uprawnienia do zapisu w folderze, w którym znajduje się binarny plik (DLL Hijacking). Możesz uzyskać każdy binarny plik, który jest wykonywany przez usługę, korzystając z polecenia wmic (nie w system32) i sprawdzić swoje uprawnienia za pomocą icacls:
Możesz również użyć sc i icacls:
Uprawnienia modyfikacji rejestru usług
Należy sprawdzić, czy można modyfikować dowolny rejestr usług. Możesz sprawdzić swoje uprawnienia do rejestru usług wykonując:
Należy sprawdzić, czy Użytkownicy uwierzytelnieni lub NT AUTHORITY\INTERACTIVE posiadają uprawnienia FullControl
. Jeśli tak, można zmienić ścieżkę wykonywanego binarnego pliku.
Aby zmienić ścieżkę wykonywanego binarnego pliku:
Uprawnienia do dodawania danych/dodawania podkatalogów w rejestrze usług
Jeśli masz to uprawnienie w rejestrze, oznacza to, że możesz tworzyć podkatalogi z tego. W przypadku usług systemu Windows jest to wystarczające do wykonania arbitralnego kodu:
pageAppendData/AddSubdirectory permission over service registryNiezakodowane ścieżki usług
Jeśli ścieżka do pliku wykonywalnego nie jest w cudzysłowach, system Windows spróbuje wykonać każde zakończenie przed spacją.
Na przykład, dla ścieżki C:\Program Files\Some Folder\Service.exe system Windows spróbuje wykonać:
Wylistuj wszystkie niezakodowane ścieżki usług, wyłączając te należące do wbudowanych usług systemu Windows:
Możesz wykryć i wykorzystać tę lukę z metasploitem: exploit/windows/local/trusted\_service\_path
Możesz ręcznie utworzyć binarny plik usługi z metasploita:
Akcje przywracania
System Windows umożliwia użytkownikom określenie działań do podjęcia w przypadku awarii usługi. Ta funkcja może być skonfigurowana tak, aby wskazywała na plik binarny. Jeśli ten plik binarny jest wymienialny, możliwe jest eskalacja uprawnień. Więcej szczegółów można znaleźć w oficjalnej dokumentacji.
Aplikacje
Zainstalowane aplikacje
Sprawdź uprawnienia plików binarnych (być może można nadpisać jeden z nich i uzyskać wyższe uprawnienia) oraz folderów (Przechwytywanie DLL).
Uprawnienia do zapisu
Sprawdź, czy możesz modyfikować pewien plik konfiguracyjny, aby odczytać pewien specjalny plik, lub czy możesz modyfikować pewny plik binarny, który zostanie wykonany przez konto Administratora (schedtasks).
Sposób na znalezienie słabych uprawnień folderów/plików w systemie to:
Uruchomienie przy starcie systemu
Sprawdź, czy możesz nadpisać pewne wpisy rejestru lub pliki binarne, które zostaną wykonane przez innego użytkownika. Przeczytaj poniższą stronę, aby dowiedzieć się więcej o interesujących lokalizacjach automatycznego uruchamiania programów do eskalacji uprawnień:
pagePrivilege Escalation with AutorunsSterowniki
Szukaj możliwych firm trzecich dziwnych/wrażliwych sterowników
Wykorzystanie DLL Hijacking
Jeśli masz uprawnienia do zapisu wewnątrz folderu obecnego w PATH, możesz być w stanie przejąć kontrolę nad DLL załadowanym przez proces i eskalować uprawnienia.
Sprawdź uprawnienia wszystkich folderów w ścieżce PATH:
Aby uzyskać więcej informacji na temat nadużywania tego sprawdzenia:
pageWritable Sys Path +Dll Hijacking PrivescSieć
Udostępnienia
plik hosts
Sprawdź, czy w pliku hosts nie ma wpisów dotyczących innych znanych komputerów.
Interfejsy sieciowe i DNS
Otwarte porty
Sprawdź ograniczone usługi z zewnątrz
Tabela routingu
Tabela ARP
Zasady zapory
Sprawdź tę stronę w poszukiwaniu poleceń związanych z zapora (wyświetlanie zasad, tworzenie zasad, wyłączanie, wyłączanie...)
Więcej poleceń do wykonywania inwentaryzacji sieci znajdziesz tutaj
Windows Subsystem dla systemu Linux (wsl)
Binary bash.exe
można również znaleźć w C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe
Jeśli uzyskasz uprawnienia roota, możesz nasłuchiwać na dowolnym porcie (po raz pierwszy używając nc.exe
do nasłuchiwania na porcie, zostanie poproszony interfejsem GUI o zezwolenie na nc
przez zaporę ogniową).
Aby łatwo uruchomić bash jako root, możesz spróbować --default-user root
Możesz przeglądać system plików WSL
w folderze C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\
Poświadczenia systemu Windows
Poświadczenia Winlogon
Menedżer poświadczeń / Skarbiec systemu Windows
Z https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault Skarbiec systemu Windows przechowuje poświadczenia użytkowników do serwerów, stron internetowych i innych programów, które system Windows może automatycznie zalogować użytkowników. Na pierwszy rzut oka może się wydawać, że użytkownicy mogą przechowywać swoje poświadczenia do Facebooka, Twittera, Gmaila itp., aby automatycznie logować się za pośrednictwem przeglądarek. Ale tak nie jest.
Skarbiec systemu Windows przechowuje poświadczenia, które system Windows może automatycznie zalogować użytkowników, co oznacza, że dowolna aplikacja systemu Windows, która potrzebuje poświadczeń do dostępu do zasobu (serwera lub strony internetowej) może skorzystać z tego Menedżera poświadczeń i Skarbca systemu Windows oraz użyć dostarczonych poświadczeń zamiast tego, aby użytkownicy wprowadzali nazwę użytkownika i hasło za każdym razem.
Chyba że aplikacje współdziałają z Menedżerem poświadczeń, nie sądzę, żeby mogły one używać poświadczeń dla danego zasobu. Dlatego jeśli twoja aplikacja chce skorzystać ze skarbca, powinna w jakiś sposób komunikować się z menedżerem poświadczeń i żądać poświadczeń dla tego zasobu z domyślnego skarbca przechowywania.
Użyj cmdkey
, aby wyświetlić przechowywane poświadczenia na maszynie.
Następnie możesz użyć runas
z opcją /savecred
, aby użyć zapisanych poświadczeń. Poniższy przykład wywołuje zdalny plik binarny za pośrednictwem udziału SMB.
Korzystanie z runas
z podanym zestawem poświadczeń.
Zauważ, że mimikatz, lazagne, credentialfileview, VaultPasswordView, lub z modułu Empire Powershells.
DPAPI
Interfejs programistyczny ochrony danych (DPAPI) zapewnia metodę szyfrowania symetrycznego danych, głównie używaną w systemie operacyjnym Windows do szyfrowania symetrycznego klucza prywatnego. Szyfrowanie to wykorzystuje sekret użytkownika lub systemu, aby istotnie przyczynić się do entropii.
DPAPI umożliwia szyfrowanie kluczy za pomocą klucza symetrycznego pochodzącego z sekretów logowania użytkownika. W przypadku szyfrowania systemowego wykorzystuje sekrety uwierzytelniania domeny systemu.
Zaszyfrowane klucze RSA użytkownika, korzystając z DPAPI, są przechowywane w katalogu %APPDATA%\Microsoft\Protect\{SID}
, gdzie {SID}
oznacza Identyfikator Bezpieczeństwa użytkownika. Klucz DPAPI, współlokowany z kluczem głównym zabezpieczającym prywatne klucze użytkownika w tym samym pliku, zazwyczaj składa się z 64 bajtów losowych danych. (Warto zauważyć, że dostęp do tego katalogu jest ograniczony, co uniemożliwia wylistowanie jego zawartości za pomocą polecenia dir
w CMD, chociaż można to zrobić za pomocą PowerShell).
Możesz użyć modułu mimikatz dpapi::masterkey
z odpowiednimi argumentami (/pvk
lub /rpc
) do zdekodowania go.
Pliki poświadczeń chronione hasłem głównym zazwyczaj znajdują się w:
Możesz użyć modułu mimikatz dpapi::cred
z odpowiednim /masterkey
do odszyfrowania.
Możesz wydobyć wiele DPAPI masterkeys z pamięci za pomocą modułu sekurlsa::dpapi
(jeśli jesteś rootem).
Poświadczenia PowerShell
Poświadczenia PowerShell są często używane do skryptowania i zadań automatyzacji jako sposób przechowywania zaszyfrowanych poświadczeń w wygodny sposób. Poświadczenia są chronione za pomocą DPAPI, co zazwyczaj oznacza, że mogą być odszyfrowane tylko przez tego samego użytkownika na tym samym komputerze, na którym zostały utworzone.
Aby odszyfrować poświadczenia PS z pliku zawierającego je, można użyć:
Wifi
Zapisane połączenia RDP
Możesz je znaleźć w HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
oraz w HKCU\Software\Microsoft\Terminal Server Client\Servers\
Ostatnio uruchomione polecenia
Menedżer poświadczeń pulpitu zdalnego
Użyj modułu Mimikatz dpapi::rdg
z odpowiednim /masterkey
, aby odszyfrować pliki .rdg
Możesz wydobyć wiele kluczy głównych DPAPI z pamięci za pomocą modułu Mimikatz sekurlsa::dpapi
Notatki samoprzylepne
Ludzie często korzystają z aplikacji StickyNotes na stacjach roboczych z systemem Windows, aby zapisać hasła i inne informacje, nie zdając sobie sprawy, że jest to plik bazy danych. Ten plik znajduje się pod adresem C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite
i zawsze warto go wyszukać i przejrzeć.
AppCmd.exe
Zauważ, że aby odzyskać hasła z AppCmd.exe, musisz być administratorem i uruchomić go na poziomie Wysokiej Integralności.
AppCmd.exe znajduje się w katalogu %systemroot%\system32\inetsrv\
.
Jeśli ten plik istnieje, istnieje możliwość, że niektóre poświadczenia zostały skonfigurowane i mogą zostać odzyskane.
Ten kod został wyodrębniony z PowerUP:
SCClient / SCCM
Sprawdź, czy istnieje C:\Windows\CCM\SCClient.exe
.
Instalatory są uruchamiane z uprawnieniami SYSTEMU, wiele z nich jest podatnych na DLL Sideloading (Informacje z https://github.com/enjoiz/Privesc).
Pliki i Rejestr (Dane uwierzytelniające)
Dane uwierzytelniające Putty
Klucze hosta SSH Putty
Klucze SSH w rejestrze
Prywatne klucze SSH mogą być przechowywane w kluczu rejestru HKCU\Software\OpenSSH\Agent\Keys
, dlatego warto sprawdzić, czy znajdują się tam jakieś interesujące informacje:
Jeśli znajdziesz jakikolwiek wpis w tej ścieżce, prawdopodobnie będzie to zapisany klucz SSH. Jest przechowywany zaszyfrowany, ale można go łatwo odszyfrować, korzystając z https://github.com/ropnop/windows_sshagent_extract. Więcej informacji na temat tej techniki tutaj: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Jeśli usługa ssh-agent
nie jest uruchomiona i chcesz, aby uruchamiała się automatycznie podczas uruchamiania systemu, wykonaj:
Wygląda na to, że ta technika nie jest już ważna. Spróbowałem utworzyć kilka kluczy ssh, dodać je za pomocą ssh-add
i zalogować się za pomocą ssh do maszyny. Gałąź HKCU\Software\OpenSSH\Agent\Keys nie istnieje, a procmon nie zidentyfikował użycia dpapi.dll
podczas uwierzytelniania klucza asymetrycznego.
Pliki bezobsługowe
Możesz również wyszukać te pliki za pomocą metasploita: post/windows/gather/enum_unattend
Przykładowa zawartość:
Kopie zapasowe SAM i SYSTEM
Poświadczenia chmurowe
McAfee SiteList.xml
Wyszukaj plik o nazwie SiteList.xml
Cached GPP Pasword
Funkcja była wcześniej dostępna, umożliwiając wdrożenie niestandardowych kont administratora lokalnego na grupie maszyn za pomocą Preferencji zasad grupy (GPP). Jednakże ta metoda miała poważne luki bezpieczeństwa. Po pierwsze, Obiekty zasad grupy (GPO), przechowywane jako pliki XML w SYSVOL, mogły być dostępne dla dowolnego użytkownika domeny. Po drugie, hasła w tych GPP, zaszyfrowane za pomocą AES256 przy użyciu publicznie udokumentowanego domyślnego klucza, mogły być odszyfrowane przez dowolnego uwierzytelnionego użytkownika. Stanowiło to poważne ryzyko, ponieważ mogło pozwolić użytkownikom uzyskać podwyższone uprawnienia.
Aby zmniejszyć to ryzyko, opracowano funkcję skanowania plików GPP przechowywanych lokalnie, zawierających pole "cpassword", które nie jest puste. Po znalezieniu takiego pliku, funkcja deszyfruje hasło i zwraca niestandardowy obiekt PowerShell. Ten obiekt zawiera szczegóły dotyczące GPP i lokalizację pliku, co pomaga zidentyfikować i naprawić tę lukę w zabezpieczeniach.
Wyszukaj w C:\ProgramData\Microsoft\Group Policy\history
lub w C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (poprzednie niż W Vista) te pliki:
Groups.xml
Services.xml
Scheduledtasks.xml
DataSources.xml
Printers.xml
Drives.xml
Aby odszyfrować cPassword:
Używanie crackmapexec do uzyskania haseł:
Konfiguracja sieciowa IIS
Przykład pliku web.config z danymi uwierzytelniającymi:
Dane uwierzytelniające OpenVPN
Dzienniki
Poproś o poświadczenia
Zawsze możesz poprosić użytkownika o podanie swoich poświadczeń lub nawet poświadczeń innego użytkownika, jeśli uważasz, że może je znać (zauważ, że prośba bezpośrednio klienta o poświadczenia jest naprawdę ryzykowna):
Możliwe nazwy plików zawierające dane uwierzytelniające
Znane pliki, które pewnego czasu temu zawierały hasła w formie czystego tekstu lub Base64
Przeszukaj wszystkie proponowane pliki:
Poświadczenia w Koszu
Należy również sprawdzić Kosz, aby znaleźć w nim poświadczenia
Aby odzyskać hasła zapisane przez kilka programów, można użyć: http://www.nirsoft.net/password_recovery_tools.html
W rejestrze
Inne możliwe klucze rejestru z poświadczeniami
Wyodrębnij klucze openssh z rejestru.
Historia przeglądarek
Należy sprawdzić bazy danych, w których przechowywane są hasła z Chrome'a lub Firefoksa. Sprawdź również historię, zakładki i ulubione przeglądarek, ponieważ tam mogą być przechowywane hasła.
Narzędzia do wyodrębniania haseł z przeglądarek:
Mimikatz:
dpapi::chrome
Nadpisywanie DLL COM
Model Obiektów Składowych (COM) to technologia wbudowana w system operacyjny Windows, która umożliwia komunikację między składnikami oprogramowania różnych języków. Każdy składnik COM jest identyfikowany za pomocą identyfikatora klasy (CLSID), a każdy składnik udostępnia funkcjonalność za pomocą jednego lub więcej interfejsów, identyfikowanych za pomocą identyfikatorów interfejsów (IIDs).
Klasy i interfejsy COM są zdefiniowane w rejestrze pod HKEY_CLASSES_ROOT\CLSID oraz HKEY_CLASSES_ROOT\Interface. Ten rejestr jest tworzony poprzez połączenie kluczy HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT.
Wewnątrz CLSID tego rejestru można znaleźć podrzędny rejestr InProcServer32, który zawiera wartość domyślną wskazującą na DLL oraz wartość o nazwie ThreadingModel, która może być Apartment (jednowątkowy), Free (wielowątkowy), Both (jedno- lub wielowątkowy) lub Neutral (wątek neutralny).
W zasadzie, jeśli można nadpisać którykolwiek z plików DLL, które zostaną wykonane, można eskalować uprawnienia, jeśli to DLL zostanie wykonane przez innego użytkownika.
Aby dowiedzieć się, jak atakujący wykorzystują przejęcie COM jako mechanizm trwałości, sprawdź:
pageCOM HijackingWyszukiwanie ogólnych haseł w plikach i rejestrze
Wyszukiwanie treści plików
Wyszukaj plik o określonej nazwie
Wyszukaj rejestr w poszukiwaniu nazw kluczy i haseł
Narzędzia wyszukujące hasła
Wtyczka MSF-Credentials jest wtyczką do msf, którą stworzyłem, aby automatycznie wykonywała każdy moduł POST metasploita, który wyszukuje poświadczenia w systemie ofiary. Winpeas automatycznie wyszukuje wszystkie pliki zawierające hasła wymienione na tej stronie. Lazagne to kolejne świetne narzędzie do wydobywania haseł z systemu.
Narzędzie SessionGopher wyszukuje sesje, nazwy użytkowników i hasła w kilku narzędziach, które przechowują te dane w postaci zwykłego tekstu (PuTTY, WinSCP, FileZilla, SuperPuTTY i RDP).
Wycieki Uchwytów
Wyobraź sobie, że proces działający jako SYSTEM otwiera nowy proces (OpenProcess()
) z pełnym dostępem. Ten sam proces tworzy również nowy proces (CreateProcess()
) z niskimi uprawnieniami, ale dziedzicząc wszystkie otwarte uchwyty głównego procesu.
Następnie, jeśli masz pełny dostęp do procesu o niskich uprawnieniach, możesz przechwycić otwarty uchwyt do utworzonego procesu o uprzywilejowanych uprawnieniach za pomocą OpenProcess()
i wstrzyknąć shellcode.
Czytaj ten przykład, aby uzyskać więcej informacji na temat jak wykryć i wykorzystać tę podatność.
Czytaj ten inny post, aby uzyskać bardziej kompletną wyjaśnienie, jak testować i nadużywać więcej otwartych uchwytów procesów i wątków dziedziczonych z różnymi poziomami uprawnień (nie tylko pełnym dostępem).
Impersonacja Klienta Named Pipe
Segmenty pamięci współdzielone, zwane rurami, umożliwiają komunikację między procesami i transfer danych.
Windows udostępnia funkcję o nazwie Named Pipes, pozwalającą niepowiązanym procesom na współdzielenie danych, nawet w różnych sieciach. Przypomina to architekturę klient/serwer, zdefiniowaną rolami serwera rury nazwanej i klienta rury nazwanej.
Gdy dane są wysyłane przez klienta przez rurę, serwer, który skonfigurował rurę, ma możliwość przyjęcia tożsamości klienta, zakładając, że ma odpowiednie uprawnienia SeImpersonate. Zidentyfikowanie uprzywilejowanego procesu, który komunikuje się za pomocą rury, którą możesz naśladować, daje możliwość uzyskania wyższych uprawnień poprzez przyjęcie tożsamości tego procesu, gdy nawiąże interakcję z rurą, którą ustanowiłeś. Instrukcje dotyczące przeprowadzenia takiego ataku można znaleźć tutaj i tutaj.
Ponadto, następujące narzędzie pozwala na przechwytywanie komunikacji rury nazwanej za pomocą narzędzia takiego jak burp: https://github.com/gabriel-sztejnworcel/pipe-intercept a to narzędzie pozwala na wyświetlenie i zobaczenie wszystkich rur, aby znaleźć podniesione uprawnienia https://github.com/cyberark/PipeViewer
Różne
Monitorowanie poleceń w celu przechwytywania haseł
Podczas uzyskiwania powłoki jako użytkownik, mogą być wykonywane zaplanowane zadania lub inne procesy, które przekazują dane uwierzytelniające w wierszu poleceń. Poniższy skrypt przechwytuje wiersze poleceń procesów co dwie sekundy i porównuje bieżący stan z poprzednim, wypisując wszelkie różnice.
Kradzież haseł z procesów
Od użytkownika o niskich uprawnieniach do SYSTEM NT\AUTHORITY (CVE-2019-1388) / UAC Bypass
Jeśli masz dostęp do interfejsu graficznego (za pośrednictwem konsoli lub RDP) i UAC jest włączone, w niektórych wersjach systemu Microsoft Windows możliwe jest uruchomienie terminala lub innego procesu, takiego jak "NT\AUTHORITY SYSTEM" z konta o niskich uprawnieniach.
Dzięki temu istnieje możliwość eskalacji uprawnień i jednoczesnego obejścia UAC przy użyciu tej samej podatności. Dodatkowo nie ma potrzeby instalowania czegokolwiek, a binarny plik używany podczas procesu jest podpisany i wydany przez firmę Microsoft.
Niektóre z dotkniętych systemów to:
Aby wykorzystać tę podatność, konieczne jest wykonanie następujących kroków:
Masz wszystkie niezbędne pliki i informacje w następującym repozytorium GitHub:
https://github.com/jas502n/CVE-2019-1388
Z poziomu Administratora do wysokiego poziomu integralności / UAC Bypass
Przeczytaj to, aby dowiedzieć się więcej o Poziomach Integralności:
pageIntegrity LevelsNastępnie przeczytaj to, aby dowiedzieć się o UAC i bypassach UAC:
pageUAC - User Account ControlZ wysokiego poziomu integralności do Systemu
Nowa usługa
Jeśli już działasz w procesie o wysokim poziomie integralności, przejście do SYSTEMu może być proste poprzez utworzenie i wykonanie nowej usługi:
AlwaysInstallElevated
Z procesu o wysokiej integralności możesz spróbować włączyć wpisy rejestru AlwaysInstallElevated i zainstalować odwrócony shell, używając opakowania .msi. Więcej informacji o zaangażowanych kluczach rejestru i jak zainstalować pakiet .msi znajdziesz tutaj.
Uprawnienia High + SeImpersonate do Systemu
Możesz znaleźć kod tutaj.
Od SeDebug + SeImpersonate do pełnych uprawnień tokena
Jeśli masz te uprawnienia tokena (prawdopodobnie znajdziesz je w procesie o wysokiej integralności), będziesz mógł otworzyć prawie każdy proces (oprocz chronionych procesów) z uprawnieniem SeDebug, skopiować token procesu i utworzyć dowolny proces z tym tokenem. Korzystając z tej techniki, zazwyczaj wybierany jest dowolny proces uruchomiony jako SYSTEM z wszystkimi uprawnieniami tokena (tak, możesz znaleźć procesy SYSTEM bez wszystkich uprawnień tokena). Możesz znaleźć przykład kodu wykonującego proponowaną technikę tutaj.
Nazwane potoki
Ta technika jest używana przez meterpreter do eskalacji w getsystem
. Technika polega na utworzeniu potoku, a następnie utworzeniu/wykorzystaniu usługi do zapisania w tym potoku. Następnie serwer, który utworzył potok przy użyciu uprawnienia SeImpersonate
, będzie mógł podrobić token klienta potoku (usługi), uzyskując uprawnienia SYSTEM.
Jeśli chcesz dowiedzieć się więcej o nazwanych potokach, powinieneś przeczytać to.
Jeśli chcesz przeczytać przykład jak przejść z wysokiej integralności do Systemu, używając nazwanych potoków, powinieneś przeczytać to.
Przechwytywanie Dll
Jeśli uda ci się przechwycić dll, które jest ładowane przez proces uruchomiony jako SYSTEM, będziesz mógł wykonać dowolny kod z tymi uprawnieniami. Dlatego przechwytywanie Dll jest również przydatne do tego rodzaju eskalacji uprawnień, a ponadto, jest znacznie łatwiejsze do osiągnięcia z procesu o wysokiej integralności, ponieważ będzie miał uprawnienia do zapisu w folderach używanych do ładowania dll. Możesz dowiedzieć się więcej o przechwytywaniu Dll tutaj.
Od Administratora lub Usługi sieciowej do Systemu
Od USŁUGI LOKALNEJ lub USŁUGI SIECIOWEJ do pełnych uprawnień
Czytaj: https://github.com/itm4n/FullPowers
Więcej pomocy
Przydatne narzędzia
Najlepsze narzędzie do szukania wektorów eskalacji uprawnień lokalnych w systemie Windows: WinPEAS
PS
PrivescCheck
PowerSploit-Privesc(PowerUP) -- Sprawdź konfiguracje i pliki poufne (sprawdź tutaj). Wykryto.
JAWS -- Sprawdź możliwe konfiguracje i zbieraj informacje (sprawdź tutaj).
privesc -- Sprawdź konfiguracje
SessionGopher -- Wydobywa informacje o sesjach zapisanych w PuTTY, WinSCP, SuperPuTTY, FileZilla i RDP. Użyj -Thorough lokalnie.
Invoke-WCMDump -- Wydobywa dane uwierzytelniające z Menedżera poświadczeń. Wykryto.
DomainPasswordSpray -- Rozpyla zebrane hasła w całej domenie
Inveigh -- Inveigh to narzędzie PowerShell do podszywania się pod ADIDNS/LLMNR/mDNS/NBNS i ataku typu man-in-the-middle.
WindowsEnum -- Podstawowa enumeracja Windows w celu eskalacji uprawnień
Sherlock ~~~~ -- Szukaj znanych podatności eskalacji uprawnień (NIEAKTUALNE dla Watson)
WINspect -- Lokalne sprawdzenia (Wymaga uprawnień administratora)
Exe
Watson -- Szukaj znanych podatności eskalacji uprawnień (należy go skompilować za pomocą VisualStudio) (prekompilowane)
SeatBelt -- Wylicza hosta w poszukiwaniu konfiguracji (bardziej narzędzie do zbierania informacji niż eskalacji uprawnień) (należy go skompilować) (prekompilowane)
LaZagne -- Wydobywa dane uwierzytelniające z wielu programów (prekompilowany exe na github)
SharpUP -- Port PowerUp do C#
Beroot ~~~~ -- Sprawdź konfigurację (wykonywalny plik prekompilowany na github). Niezalecane. Nie działa dobrze w Win10.
Windows-Privesc-Check -- Sprawdź możliwe konfiguracje (exe z pythona). Niezalecane. Nie działa dobrze w Win10.
Bat
winPEASbat -- Narzędzie stworzone na podstawie tego posta (nie wymaga accesschk do poprawnego działania, ale może go używać).
Lokalne
Windows-Exploit-Suggester -- Odczytuje wynik systeminfo i rekomenduje działające exploit'y (lokalny python) Windows Exploit Suggester Next Generation -- Odczytuje wynik systeminfo i rekomenduje działające exploit'y (lokalny python)
Meterpreter
multi/recon/local_exploit_suggestor
Musisz skompilować projekt przy użyciu odpowiedniej wersji .NET (zobacz to). Aby zobaczyć zainstalowaną wersję .NET na hoście ofiary, możesz to zrobić:
Bibliografia
Last updated