Checkliste - Local Windows Privilege Escalation

Reading time: 7 minutes

Bestes Tool, um Windows local privilege escalation Vektoren zu finden: WinPEAS

System-Info

• Beschaffe System information
• Suche nach kernel exploits using scripts
• Benutze Google, um nach kernel exploits zu suchen
• Benutze searchsploit, um nach kernel exploits zu suchen
• Interessante Informationen in env vars?
• Passwörter in PowerShell history?
• Interessante Informationen in Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Überprüfe Audit und WEF Einstellungen
• Überprüfe LAPS
• Prüfe, ob WDigest aktiv ist
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Prüfe, ob irgendein AV vorhanden ist
• AppLocker Policy?
• UAC
• User Privileges
• Überprüfe die Privilegien des aktuellen Users (current user privileges)(windows-local-privilege-escalation/index.html#users-and-groups)
• Bist du Mitglied einer privilegierten Gruppe?
• Prüfe, ob du eines dieser Token aktiviert hast: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions?
• Überprüfe users homes (Zugriff?)
• Prüfe die Password Policy
• Was ist inside the Clipboard?

Network

• Überprüfe die aktuellen network information
• Prüfe versteckte lokale Services, die von außen eingeschränkt sind

Running Processes

• Dateisystem- und Ordnerberechtigungen von Prozess-Binaries file and folders permissions
• Memory Password mining
• Insecure GUI apps
• Stehle Credentials mit interessanten Prozessen via ProcDump.exe ? (firefox, chrome, etc ...)

Services

• Kannst du einen Service modifizieren? (Can you modify any service?)
• Kannst du die Binary ändern, die von einem Service ausgeführt wird? (Can you modify the binary that is executed by any service?)
• Kannst du die Registry eines Services ändern? (Can you modify the registry of any service?)
• Kannst du eine unquoted service binary path ausnutzen? (Can you take advantage of any unquoted service binary path?)

Applications

• Write-Berechtigungen auf installierte Anwendungen? (Write permissions on installed applications)
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• Kannst du in einen Ordner innerhalb von PATH schreiben?
• Gibt es einen bekannten Service-Binary, der versucht, eine nicht existierende DLL zu laden?
• Kannst du in einen Ordner mit Binaries schreiben?

Network

• Enumeriere das Netzwerk (shares, interfaces, routes, neighbours, ...)
• Schau besonders auf Netzwerkdienste, die auf localhost (127.0.0.1) lauschen

Windows Credentials

• Winlogon credentials
• Windows Vault credentials, die du verwenden könntest?
• Interessante DPAPI credentials?
• Passwörter gespeicherter Wifi networks?
• Interessante Informationen in saved RDP Connections?
• Passwörter in recently run commands?
• Remote Desktop Credentials Manager Passwörter?
• AppCmd.exe exists? Credentials?
• SCClient.exe? DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds und SSH host keys
• SSH keys in registry?
• Passwörter in unattended files?
• Gibt es ein SAM & SYSTEM Backup?
• Cloud credentials?
• McAfee SiteList.xml Datei?
• Cached GPP Password?
• Passwort in IIS Web config file?
• Interessante Informationen in web logs?
• Möchtest du den User nach Credentials fragen?
• Interessante files inside the Recycle Bin?
• Andere registry Einträge, die Credentials enthalten?
• Im Browser data (dbs, history, bookmarks, ...)?
• Generic password search in Dateien und Registry
• Tools zum automatischen Suchen nach Passwörtern

Leaked Handlers

• Hast du Zugriff auf einen Handler eines als Administrator ausgeführten Prozesses?

Pipe Client Impersonation

• Prüfe, ob du es ausnutzen kannst