チェックリスト - ローカル Windows 権限昇格

Reading time: 9 minutes

Windows ローカル権限昇格のベクターを探すための最良のツール: WinPEAS

システム情報

• システム情報 を取得する
• カーネル用の exploits using scripts を検索する
• カーネルの exploits を探すために Google を使う
• カーネルの exploits を探すために searchsploit を使う
• 環境変数 に興味深い情報はあるか？
• PowerShell 履歴 にパスワードはあるか？
• Internet settings に興味深い情報はあるか？
• Drives は？
• WSUS exploit は？
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated ?

ログ / AV 列挙

• Audit と WEF の設定を確認する
• LAPS を確認する
• WDigest が有効か確認する
• LSA Protection ?
• Credentials Guard?
• Cached Credentials ?
• 何か AV があるか確認する (https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/windows-av-bypass/README.md)
• AppLocker Policy は？
• UAC を確認する
• User Privileges を確認する
• 現在のユーザーの privileges を確認する (windows-local-privilege-escalation/index.html#users-and-groups)
• member of any privileged group か？
• 以下のトークンが有効か確認する (windows-local-privilege-escalation/index.html#token-manipulation): SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions ?
• users homes を確認する（アクセス可能か？）
• Password Policy を確認する
• クリップボードの中身は何か？ inside the Clipboard

ネットワーク

• 現在の network information を確認する
• 外部に制限されている隠れたローカルサービスを確認する

実行中のプロセス

• プロセスのバイナリの file and folders permissions を確認する
• Memory Password mining
• Insecure GUI apps
• 興味のあるプロセスから ProcDump.exe を使って資格情報を盗めるか？ (firefox, chrome, etc ...)

サービス

• 任意のサービスを変更できるか？ (windows-local-privilege-escalation/index.html#permissions)
• 任意のサービスによって実行されるバイナリを修正できるか？ (windows-local-privilege-escalation/index.html#modify-service-binary-path)
• 任意のサービスのレジストリを変更できるか？ (windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
• 引用符のないサービスバイナリのパスを利用できるか？ (windows-local-privilege-escalation/index.html#unquoted-service-paths)
• Service Triggers: 権限の高いサービスを列挙してトリガーできるか (windows-local-privilege-escalation/service-triggers.md)

Applications

• インストール済みアプリケーションに対する書き込み権限 (windows-local-privilege-escalation/index.html#write-permissions)
• Startup Applications
• 脆弱な Drivers

DLL Hijacking

• PATH 内の任意のフォルダに書き込めるか？
• 存在しない DLL を読み込もうとする既知のサービスバイナリはあるか？
• 任意のバイナリフォルダに書き込めるか？

ネットワーク

• ネットワークを列挙する（shares, interfaces, routes, neighbours, ...）
• localhost (127.0.0.1) でリッスンしているネットワークサービスを特に確認する

Windows Credentials

• Winlogon の認証情報
• Windows Vault の認証情報は使えるか？
• 興味深い DPAPI credentials はあるか？
• 保存された Wifi networks のパスワード？
• 保存された RDP Connections に興味深い情報はあるか？
• recently run commands にパスワードはあるか？
• Remote Desktop Credentials Manager のパスワード？
• AppCmd.exe が存在するか？認証情報はあるか？
• SCClient.exe の DLL Side Loading？

ファイルとレジストリ（認証情報）

• Putty: Creds および SSH host keys
• レジストリ内の SSH keys は？
• unattended files にパスワードはあるか？
• 何か SAM & SYSTEM のバックアップはあるか？
• Cloud credentials は？
• McAfee SiteList.xml ファイルは？
• Cached GPP Password は？
• IIS Web config file にパスワードはあるか？
• web logs に興味深い情報はあるか？
• ユーザーに認証情報を要求するか？ (windows-local-privilege-escalation/index.html#ask-for-credentials)
• ごみ箱内の興味深いファイルはあるか？ (windows-local-privilege-escalation/index.html#credentials-in-the-recyclebin)
• 認証情報を含むその他の registry は？
• Browser data の中身 (dbs, history, bookmarks, ...) は？
• ファイルとレジストリ内の Generic password search
• パスワードを自動で検索する Tools

Leaked Handlers

• 管理者で実行されているプロセスのハンドルにアクセスできるか？

Pipe Client Impersonation

• 悪用できるか確認する