Checklist - Escalada local de privilegios en Windows

Reading time: 7 minutes

Best tool to look for Windows local privilege escalation vectors: WinPEAS

System Info

• Obtener System information
• Buscar kernel exploits using scripts
• Usar Google to search para buscar kernel exploits
• Usar searchsploit to search para buscar kernel exploits
• ¿Información interesante en env vars?
• ¿Contraseñas en PowerShell history?
• ¿Información interesante en Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Comprobar Audit y WEF settings
• Comprobar LAPS
• Comprobar si WDigest está activo
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Comprobar si hay algún AV
• AppLocker Policy?
• UAC
• User Privileges
• Comprobar current user privileges
• ¿Eres member of any privileged group?
• Comprobar si tienes alguno de estos tokens habilitados: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions?
• Comprobar users homes (¿acceso?)
• Comprobar Password Policy
• ¿Qué hay inside the Clipboard?

Network

• Comprobar current network information
• Comprobar hidden local services restringidos al exterior

Running Processes

• Permisos de binarios de procesos file and folders permissions
• Memory Password mining
• Insecure GUI apps
• ¿Robar credenciales con interesting processes vía ProcDump.exe ? (firefox, chrome, etc ...)

Services

• ¿Puedes modify any service? (¿modificar algún servicio?)
• ¿Puedes modify el binary que es executed por algún service? (¿modificar el binario ejecutado por algún servicio?)
• ¿Puedes modify el registry de algún service? (¿modificar el registro de algún servicio?)
• ¿Puedes aprovechar cualquier unquoted service binary path?
• Service Triggers: enumerate and trigger privileged services

Applications

• Write permissions on installed applications
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• ¿Puedes write in any folder inside PATH?
• ¿Hay algún binario de servicio conocido que tries to load any non-existant DLL?
• ¿Puedes write en alguna binaries folder?

Network

• Enumerar la red (shares, interfaces, routes, neighbours, ...)
• Presta especial atención a los servicios de red escuchando en localhost (127.0.0.1)

Windows Credentials

• Winlogon credentials
• ¿Credenciales de Windows Vault que puedas usar?
• ¿Credenciales interesantes de DPAPI?
• ¿Contraseñas de redes Wifi networks?
• ¿Información interesante en saved RDP Connections?
• ¿Contraseñas en recently run commands?
• ¿Contraseñas en Remote Desktop Credentials Manager?
• ¿AppCmd.exe exists? ¿Credenciales?
• SCClient.exe? ¿DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds and SSH host keys
• SSH keys in registry?
• ¿Contraseñas en unattended files?
• ¿Algún backup de SAM & SYSTEM?
• Cloud credentials?
• ¿Archivo McAfee SiteList.xml?
• Cached GPP Password?
• ¿Contraseña en IIS Web config file?
• ¿Información interesante en web logs?
• ¿Quieres ask for credentials al usuario?
• ¿Archivos interesantes dentro de la Papelera (Recycle Bin)?
• Otras registry containing credentials?
• ¿Dentro de Browser data (dbs, history, bookmarks, ...)?
• Generic password search en archivos y registro
• Tools para buscar automáticamente contraseñas

Leaked Handlers

• ¿Tienes acceso a algún handler de un proceso ejecutado por administrador?

Pipe Client Impersonation

• Comprobar si puedes abusarlo