チェックリスト - ローカルWindows特権昇格

Reading time: 8 minutes

Windowsローカル特権昇格ベクトルを探すための最良のツール: WinPEAS

システム情報

• システム情報を取得
• カーネルのエクスプロイトをスクリプトで検索
• Googleでカーネルのエクスプロイトを検索
• searchsploitでカーネルのエクスプロイトを検索
• 環境変数?に興味深い情報はあるか？
• PowerShellの履歴にパスワードはあるか？
• インターネット設定に興味深い情報はあるか？
• ドライブ?
• WSUSエクスプロイト?
• AlwaysInstallElevated?

ログ/AV列挙

• 監査とWEF設定を確認
• LAPSを確認
• WDigestがアクティブか確認
• LSA保護?
• Credentials Guard?
• キャッシュされた資格情報?
• AVが有効か確認
• AppLockerポリシー?
• UAC
• ユーザー特権
• 現在のユーザーの特権を確認
• 特権グループのメンバーか？
• これらのトークンが有効か確認: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• ユーザーセッション?
• ユーザーホームを確認 (アクセス?)
• パスワードポリシーを確認
• クリップボードの中身は何か？

ネットワーク

• 現在のネットワーク情報を確認
• 外部に制限された隠れたローカルサービスを確認

実行中のプロセス

• プロセスバイナリのファイルとフォルダの権限
• メモリパスワードマイニング
• 安全でないGUIアプリ
• ProcDump.exeを介して興味深いプロセスから資格情報を盗む？ (firefox, chrome, etc ...)

サービス

• サービスを変更できるか?
• サービスによって実行されるバイナリを変更できるか?
• サービスのレジストリを変更できるか?
• 引用符なしのサービスバイナリのパスを利用できるか?

アプリケーション

• インストールされたアプリケーションの書き込み権限
• スタートアップアプリケーション
• 脆弱なドライバー

DLLハイジャック

• PATH内の任意のフォルダに書き込めるか？
• 存在しないDLLを読み込もうとする既知のサービスバイナリはあるか？
• 任意のバイナリフォルダに書き込めるか？

ネットワーク

• ネットワークを列挙 (共有、インターフェース、ルート、隣接、...)
• localhost (127.0.0.1)でリッスンしているネットワークサービスに特に注意

Windows資格情報

• Winlogon資格情報
• Windows Vaultの資格情報は使用できるか？
• 興味深いDPAPI資格情報?
• 保存されたWifiネットワークのパスワードは？
• 保存されたRDP接続に興味深い情報はあるか？
• 最近実行されたコマンドのパスワードは？
• リモートデスクトップ資格情報マネージャーのパスワードは？
• AppCmd.exeが存在するか? 資格情報は？
• SCClient.exe? DLLサイドローディング？

ファイルとレジストリ (資格情報)

• Putty: 資格情報 と SSHホストキー
• レジストリ内のSSHキー?
• 無人ファイルのパスワードは？
• SAM & SYSTEMのバックアップはあるか？
• クラウド資格情報?
• McAfee SiteList.xmlファイルは？
• キャッシュされたGPPパスワード?
• IIS Web構成ファイルのパスワードは？
• ウェブログに興味深い情報はあるか？
• ユーザーに資格情報を要求するか？
• ごみ箱内の興味深いファイル?
• 他の資格情報を含むレジストリ?
• ブラウザデータ内 (dbs、履歴、ブックマーク、...)?
• ファイルとレジストリ内の一般的なパスワード検索
• パスワードを自動的に検索するためのツール

漏洩したハンドラー

• 管理者によって実行されるプロセスのハンドラーにアクセスできるか？

パイプクライアントの偽装

• 悪用できるか確認