Checkliste - Lokale Windows Privilegieneskalation

Reading time: 6 minutes

Bestes Tool zur Suche nach Windows lokalen Privilegieneskalationsvektoren: WinPEAS

Systeminfo

• Systeminformationen abrufen
• Nach Kernel Exploits mit Skripten suchen
• Google verwenden, um nach Kernel Exploits zu suchen
• searchsploit verwenden, um nach Kernel Exploits zu suchen
• Interessante Informationen in Umgebungsvariablen?
• Passwörter im PowerShell-Verlauf?
• Interessante Informationen in Internet-Einstellungen?
• Laufwerke?
• WSUS-Exploit?
• AlwaysInstallElevated?

Protokollierung/AV-Enumeration

• Audit und WEF Einstellungen überprüfen
• LAPS überprüfen
• Überprüfen, ob WDigest aktiv ist
• LSA-Schutz?
• Credentials Guard?
• Zwischengespeicherte Anmeldeinformationen?
• Überprüfen, ob ein AV vorhanden ist
• AppLocker-Richtlinie?
• UAC
• Benutzerprivilegien
• Aktuelle Benutzer privilegien überprüfen
• Sind Sie Mitglied einer privilegierten Gruppe?
• Überprüfen, ob Sie eines dieser Tokens aktiviert haben: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Benutzersitzungen?
• Überprüfen Benutzerverzeichnisse (Zugriff?)
• Passwortrichtlinie überprüfen
• Was ist in der Zwischenablage?

Netzwerk

• Aktuelle Netzwerkinformationen überprüfen
• Versteckte lokale Dienste überprüfen, die auf das Internet beschränkt sind

Ausgeführte Prozesse

• Prozesse Binärdateien Datei- und Ordnersicherheitsberechtigungen
• Speicherpasswort-Mining
• Unsichere GUI-Apps
• Anmeldeinformationen mit interessanten Prozessen über ProcDump.exe stehlen? (firefox, chrome, usw...)

Dienste

• Können Sie irgendeinen Dienst ändern?
• Können Sie die Binärdatei ändern, die von einem Dienst ausgeführt wird?
• Können Sie die Registrierung eines Dienstes ändern?
• Können Sie von einem nicht zitierten Dienst Binärdateipfad profitieren?

Anwendungen

• Schreib Berechtigungen für installierte Anwendungen
• Startup-Anwendungen
• Verwundbare Treiber

DLL-Hijacking

• Können Sie in einen beliebigen Ordner im PATH schreiben?
• Gibt es eine bekannte Dienstbinärdatei, die versucht, eine nicht existierende DLL zu laden?
• Können Sie in einen beliebigen Binärdateiordner schreiben?

Netzwerk

• Das Netzwerk auflisten (Freigaben, Schnittstellen, Routen, Nachbarn, ...)
• Besonders auf Netzwerkdienste achten, die auf localhost (127.0.0.1) hören

Windows-Anmeldeinformationen

• Winlogon Anmeldeinformationen
• Windows Vault Anmeldeinformationen, die Sie verwenden könnten?
• Interessante DPAPI-Anmeldeinformationen?
• Passwörter von gespeicherten WLAN-Netzwerken?
• Interessante Informationen in gespeicherten RDP-Verbindungen?
• Passwörter in kürzlich ausgeführten Befehlen?
• Remote Desktop Credential Manager Passwörter?
• AppCmd.exe existiert? Anmeldeinformationen?
• SCClient.exe? DLL-Seitenladung?

Dateien und Registrierung (Anmeldeinformationen)

• Putty: Anmeldeinformationen und SSH-Hostschlüssel
• SSH-Schlüssel in der Registrierung?
• Passwörter in unbeaufsichtigten Dateien?
• Irgendein SAM & SYSTEM Backup?
• Cloud-Anmeldeinformationen?
• McAfee SiteList.xml Datei?
• Zwischengespeichertes GPP-Passwort?
• Passwort in IIS-Webkonfigurationsdatei?
• Interessante Informationen in Webprotokollen?
• Möchten Sie den Benutzer nach Anmeldeinformationen fragen?
• Interessante Dateien im Papierkorb?
• Andere Registrierungen mit Anmeldeinformationen?
• In Browserdaten (Datenbanken, Verlauf, Lesezeichen, ...)?
• Allgemeine Passwortsuche in Dateien und Registrierung
• Tools zur automatischen Passwortsuche

Leckende Handler

• Haben Sie Zugriff auf einen Handler eines Prozesses, der von einem Administrator ausgeführt wird?

Pipe-Client-Impersonation

• Überprüfen, ob Sie es ausnutzen können