Lista de verificación - Escalación de privilegios local en Windows

Reading time: 6 minutes

Mejor herramienta para buscar vectores de escalación de privilegios locales en Windows: WinPEAS

Información del sistema

• Obtener Información del sistema
• Buscar exploits de kernel usando scripts
• Usar Google para buscar exploits de kernel
• Usar searchsploit para buscar exploits de kernel
• ¿Información interesante en variables de entorno?
• ¿Contraseñas en historial de PowerShell?
• ¿Información interesante en configuraciones de Internet?
• ¿Unidades?
• ¿Explotación de WSUS?
• ¿AlwaysInstallElevated?

Enumeración de registros/AV

• Verificar configuraciones de auditoría y WEF
• Verificar LAPS
• Verificar si WDigest está activo
• ¿Protección de LSA?
• ¿Credentials Guard?
• ¿Credenciales en caché?
• Verificar si hay algún AV
• ¿Política de AppLocker?
• UAC
• Privilegios de usuario
• Verificar privilegios del usuario actual
• ¿Eres miembro de algún grupo privilegiado?
• Verificar si tienes cualquiera de estos tokens habilitados: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• ¿Sesiones de usuarios?
• Verificar carpetas de usuarios (¿acceso?)
• Verificar Política de contraseñas
• ¿Qué hay dentro del portapapeles?

Red

• Verificar información de red actual
• Verificar servicios locales ocultos restringidos al exterior

Procesos en ejecución

• Permisos de archivos y carpetas de procesos
• Minería de contraseñas en memoria
• Aplicaciones GUI inseguras
• ¿Robar credenciales con procesos interesantes a través de ProcDump.exe? (firefox, chrome, etc ...)

Servicios

• ¿Puedes modificar algún servicio?
• ¿Puedes modificar el binario que es ejecutado por algún servicio?
• ¿Puedes modificar el registro de algún servicio?
• ¿Puedes aprovechar algún camino de binario de servicio no citado?

Aplicaciones

• Escribir permisos en aplicaciones instaladas
• Aplicaciones de inicio
• Controladores vulnerables

Secuestro de DLL

• ¿Puedes escribir en alguna carpeta dentro de PATH?
• ¿Hay algún binario de servicio conocido que intente cargar alguna DLL no existente?
• ¿Puedes escribir en alguna carpeta de binarios?

Red

• Enumerar la red (comparticiones, interfaces, rutas, vecinos, ...)
• Prestar especial atención a los servicios de red que escuchan en localhost (127.0.0.1)

Credenciales de Windows

• Credenciales de Winlogon
• ¿Credenciales de Windows Vault que podrías usar?
• ¿Credenciales DPAPI interesantes?
• ¿Contraseñas de redes Wifi guardadas?
• ¿Información interesante en Conexiones RDP guardadas?
• ¿Contraseñas en comandos ejecutados recientemente?
• ¿Contraseñas del Administrador de credenciales de Escritorio Remoto?
• ¿Existe AppCmd.exe? ¿Credenciales?
• ¿SCClient.exe? ¿Carga lateral de DLL?

Archivos y Registro (Credenciales)

• Putty: Credenciales y claves de host SSH
• ¿Claves SSH en el registro?
• ¿Contraseñas en archivos desatendidos?
• ¿Alguna copia de seguridad de SAM & SYSTEM?
• ¿Credenciales en la nube?
• ¿Archivo de McAfee SiteList.xml?
• ¿Contraseña GPP en caché?
• ¿Contraseña en archivo de configuración de IIS Web?
• ¿Información interesante en registros web?
• ¿Quieres pedir credenciales al usuario?
• ¿Archivos interesantes dentro de la Papelera de reciclaje?
• ¿Otros registros que contienen credenciales?
• ¿Dentro de datos del navegador (dbs, historial, marcadores, ...)?
• Búsqueda de contraseñas genéricas en archivos y registro
• Herramientas para buscar contraseñas automáticamente

Manejadores filtrados

• ¿Tienes acceso a algún manejador de un proceso ejecutado por el administrador?

Suplantación de cliente de Pipe

• Verifica si puedes abusar de ello