Introdução

Se você descobrir que pode escrever em uma pasta do Caminho do Sistema (observe que isso não funcionará se você puder escrever em uma pasta do Caminho do Usuário), é possível que você possa elevar privilégios no sistema.

Para fazer isso, você pode abusar de um Hijacking de Dll onde você vai sequestrar uma biblioteca sendo carregada por um serviço ou processo com mais privilégios do que os seus, e porque esse serviço está carregando uma Dll que provavelmente nem mesmo existe em todo o sistema, ele vai tentar carregá-la a partir do Caminho do Sistema onde você pode escrever.

Para mais informações sobre o que é o Hijacking de Dll confira:

Privesc com Hijacking de Dll

Encontrando uma Dll ausente

A primeira coisa que você precisa fazer é identificar um processo em execução com mais privilégios do que você que está tentando carregar uma Dll do Caminho do Sistema onde você pode escrever.

O problema nesses casos é que provavelmente esses processos já estão em execução. Para encontrar quais Dlls estão faltando nos serviços, você precisa iniciar o procmon o mais rápido possível (antes que os processos sejam carregados). Portanto, para encontrar .dlls faltantes faça:

• Crie a pasta C:\privesc_hijacking e adicione o caminho C:\privesc_hijacking à variável de ambiente Path do Sistema. Você pode fazer isso manualmente ou com PS:

# Set the folder path to create and check events for
$folderPath = "C:\privesc_hijacking"

# Create the folder if it does not exist
if (!(Test-Path $folderPath -PathType Container)) {
New-Item -ItemType Directory -Path $folderPath | Out-Null
}

# Set the folder path in the System environment variable PATH
$envPath = [Environment]::GetEnvironmentVariable("PATH", "Machine")
if ($envPath -notlike "*$folderPath*") {
$newPath = "$envPath;$folderPath"
[Environment]::SetEnvironmentVariable("PATH", $newPath, "Machine")
}

• Inicie o procmon e vá para Opções --> Ativar log de inicialização e pressione OK na janela que aparecer.

• Em seguida, reinicie o computador. Quando o computador for reiniciado, o procmon começará a gravar eventos imediatamente.

• Assim que o Windows for iniciado, execute o procmon novamente, ele informará que está em execução e perguntará se você deseja armazenar os eventos em um arquivo. Diga sim e armazene os eventos em um arquivo.

• Após o arquivo ser gerado, feche a janela do procmon aberta e abra o arquivo de eventos.

• Adicione esses filtros e você encontrará todas as Dlls que algum processo tentou carregar da pasta do Caminho do Sistema gravável:

Dlls Perdidas

Executando isso em uma máquina virtual (vmware) com Windows 11 gratuito, obtive estes resultados:

Neste caso, os .exe são inúteis, então ignore-os, as Dlls perdidas eram de:

Após encontrar isso, encontrei este post interessante que também explica como abusar do WptsExtensions.dll para escalonamento de privilégios. O que vamos fazer agora.

Exploração

Portanto, para elevar privilégios, vamos sequestrar a biblioteca WptsExtensions.dll. Tendo o caminho e o nome, só precisamos gerar a dll maliciosa.

Você pode tentar usar qualquer um desses exemplos. Você poderia executar payloads como: obter um shell reverso, adicionar um usuário, executar um beacon...

No momento da escrita, o serviço Agendador de Tarefas é executado com Nt AUTHORITY\SYSTEM.

Tendo gerado a Dll maliciosa (no meu caso, usei um shell reverso x64 e obtive um shell de volta, mas o defender o matou porque era do msfvenom), salve-o no Caminho do Sistema gravável com o nome WptsExtensions.dll e reinicie o computador (ou reinicie o serviço ou faça o que for necessário para executar novamente o serviço/programa afetado).

Quando o serviço for reiniciado, a dll deve ser carregada e executada (você pode reutilizar o truque do procmon para verificar se a biblioteca foi carregada conforme o esperado).