체크리스트 - 로컬 Windows 권한 상승

Reading time: 7 minutes

Windows 로컬 권한 상승 벡터를 찾기 위한 최고의 도구: WinPEAS

System Info

• 수집 System information
• kernel exploits using scripts 검색
• kernel exploits를 찾기 위해 Google 사용
• kernel exploits를 찾기 위해 searchsploit 사용
• env vars에 흥미로운 정보가 있나?
• PowerShell history에 비밀번호가 있나?
• Internet settings에 흥미로운 정보가 있나?
• Drives 확인?
• WSUS exploit 확인?
• Third-party agent auto-updaters / IPC abuse 확인
• AlwaysInstallElevated 사용 가능한가?

Logging/AV enumeration

• Audit 및 WEF 설정 확인
• LAPS 확인
• WDigest 활성화되어 있는가?
• LSA Protection 적용 여부?
• Credentials Guard 적용 여부(또는 관련 캐시된 자격증명 확인)?
• Cached Credentials 여부?
• 어떤 AV가 있는지 확인
• AppLocker Policy 확인?
• UAC 설정 확인
• User Privileges 확인
• 현재 사용자 privileges 확인 (windows-local-privilege-escalation/index.html#users-and-groups)
• member of any privileged group인지 확인?
• any of these tokens enabled: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege 가 활성화되어 있는가?
• Users Sessions 확인?
• users homes 접근 여부 확인
• Password Policy 확인
• inside the Clipboard에는 무엇이 있나?

Network

• 현재 network information 확인
• 외부에서 접근이 제한된 숨겨진 로컬 서비스 확인

Running Processes

• 프로세스 바이너리의 file and folders permissions 확인
• Memory Password mining 확인
• Insecure GUI apps 확인
• ProcDump.exe을 사용하여 interesting processes에서 자격증명 탈취? (firefox, chrome 등 ...)

Services

• Can you modify any service?
• Can you modify the binary that is executed by any service?
• Can you modify the registry of any service?
• Can you take advantage of any unquoted service binary path?

Applications

• 설치된 애플리케이션에 대한 permissions on installed applications에 Write 권한이 있는가?
• Startup Applications 확인?
• 취약한 Drivers 확인

DLL Hijacking

• PATH 내부의 어떤 폴더에도 쓸 수 있는가?
• 존재하지 않는 DLL을 로드하려고 시도하는 알려진 서비스 바이너리가 있는가?
• 어떤 binaries folder에 쓸 수 있는가?

Network

• 네트워크 열거 (공유, 인터페이스, 라우트, 이웃, ...)
• localhost(127.0.0.1)에서 리스닝하는 네트워크 서비스에 특히 주목

Windows Credentials

• Winlogon 자격증명
• Windows Vault에서 사용할 수 있는 자격증명?
• 흥미로운 DPAPI credentials 여부?
• 저장된 Wifi networks의 비밀번호?
• saved RDP Connections에 흥미로운 정보가 있나?
• recently run commands에 비밀번호가 있나?
• Remote Desktop Credentials Manager의 비밀번호?
• AppCmd.exe exists 존재? 자격증명?
• SCClient.exe 존재? DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds 및 SSH host keys
• SSH keys in registry 확인?
• unattended files에 비밀번호가 있는가?
• 어떤 SAM & SYSTEM 백업이 있는가?
• Cloud credentials가 있는가?
• McAfee SiteList.xml 파일 확인?
• Cached GPP Password 확인?
• IIS Web config file에 비밀번호가 있는가?
• web logs에 흥미로운 정보가 있나?
• 사용자에게 ask for credentials 요청할 것인가?
• 휴지통 안의 흥미로운 files inside the Recycle Bin?
• 자격증명을 포함한 다른 registry containing credentials 확인
• 브라우저 데이터(데이터베이스, 히스토리, 즐겨찾기 등) 내부 확인: Browser data
• 파일 및 레지스트리에서의 Generic password search
• 비밀번호를 자동으로 검색하는 Tools

Leaked Handlers

• 관리자 권한으로 실행된 프로세스의 핸들러에 접근할 수 있는가?

Pipe Client Impersonation

• 이를 악용할 수 있는지 확인