Lista de verificación - Local Windows Privilege Escalation

Reading time: 7 minutes

Mejor herramienta para buscar vectores de Windows local privilege escalation: WinPEAS

System Info

• Obtener System information
• Buscar kernel exploits using scripts
• Usar Google para buscar kernel exploits
• Usar searchsploit para buscar kernel exploits
• ¿Información interesante en env vars?
• ¿Contraseñas en el PowerShell history?
• ¿Información interesante en Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Comprobar Audit y WEF settings
• Comprobar LAPS
• Comprobar si WDigest está activo
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Comprobar si hay algún AV
• AppLocker Policy?
• UAC
• User Privileges
• Comprobar los privilegios del usuario actual(windows-local-privilege-escalation/index.html#users-and-groups)
• ¿Eres member of any privileged group?
• Comprobar si tienes alguno de estos tokens habilitados: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions?
• Comprobar users homes (¿acceso?)
• Comprobar la Password Policy
• ¿Qué hay inside the Clipboard?

Network

• Comprobar la network information actual
• Comprobar servicios locales ocultos restringidos al exterior

Running Processes

• Permisos de archivos y carpetas de los binarios de procesos file and folders permissions
• Memory Password mining
• Insecure GUI apps
• ¿Robar credenciales con interesting processes vía ProcDump.exe ? (firefox, chrome, etc ...)

Services

• ¿Puedes modify any service? (windows-local-privilege-escalation/index.html#permissions)
• ¿Puedes modify el binary que es ejecutado por algún service? (windows-local-privilege-escalation/index.html#modify-service-binary-path)
• ¿Puedes modify el registry de algún service? (windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
• ¿Puedes aprovechar algún unquoted service binary path? (windows-local-privilege-escalation/index.html#unquoted-service-paths)

Applications

• Write permisos en installed applications
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• ¿Puedes write in any folder inside PATH?
• ¿Hay algún binario de servicio conocido que tries to load any non-existant DLL?
• ¿Puedes write en alguna binaries folder?

Network

• Enumerar la red (shares, interfaces, routes, neighbours, ...)
• Fijarse especialmente en servicios de red escuchando en localhost (127.0.0.1)

Windows Credentials

• Winlogon credentials
• ¿Hay credenciales en Windows Vault que puedas usar?
• ¿Credenciales interesantes de DPAPI credentials?
• ¿Contraseñas de redes Wifi guardadas? (windows-local-privilege-escalation/index.html#wifi)
• ¿Información interesante en saved RDP Connections?
• ¿Contraseñas en recently run commands?
• ¿Contraseñas en Remote Desktop Credentials Manager?
• ¿AppCmd.exe exists? ¿Credenciales?
• SCClient.exe? ¿DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds and SSH host keys
• SSH keys in registry?
• ¿Contraseñas en unattended files?
• ¿Algún backup de SAM & SYSTEM?
• Cloud credentials?
• ¿Archivo McAfee SiteList.xml?
• Cached GPP Password?
• ¿Contraseña en IIS Web config file?
• ¿Información interesante en web logs?
• ¿Quieres ask for credentials al usuario?
• ¿Archivos interesantes dentro de la Papelera de reciclaje? (windows-local-privilege-escalation/index.html#credentials-in-the-recyclebin)
• Otras registry containing credentials?
• Dentro de Browser data (dbs, history, bookmarks, ...)?
• Generic password search en archivos y registry
• Tools para buscar automáticamente contraseñas

Leaked Handlers

• ¿Tienes acceso a algún handler de un proceso ejecutado por administrador?

Pipe Client Impersonation

• Comprobar si puedes abusarlo