Lista kontrolna - Lokalna eskalacja uprawnień w Windows

Reading time: 7 minutes

Najlepsze narzędzie do wyszukiwania Windows local privilege escalation vectors: WinPEAS

System Info

• Uzyskaj System information
• Wyszukaj kernel exploits using scripts
• Użyj Google to search for kernel exploits
• Użyj searchsploit to search for kernel exploits
• Ciekawe informacje w env vars?
• Hasła w PowerShell history?
• Ciekawe informacje w Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Sprawdź Audit i WEF ustawienia
• Sprawdź LAPS
• Sprawdź czy WDigest jest aktywny
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Sprawdź czy jakikolwiek AV
• AppLocker Policy?
• UAC
• User Privileges
• Sprawdź current user privileges
• Czy jesteś member of any privileged group?
• Sprawdź czy masz any of these tokens enabled: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions?
• Sprawdź users homes (dostęp?)
• Sprawdź Password Policy
• Co jest inside the Clipboard?

Network

• Sprawdź current network information
• Sprawdź ukryte lokalne usługi ograniczone na dostęp z zewnątrz

Running Processes

• Uprawnienia do plików i folderów binarek procesów file and folders permissions
• Memory Password mining
• Insecure GUI apps
• Ukradnij poświadczenia z interesujących procesów za pomocą ProcDump.exe ? (firefox, chrome, etc ...)

Services

• Czy możesz modyfikować jakąkolwiek usługę? (Can you modify any service?)
• Czy możesz zmodyfikować binarkę która jest wykonywana przez którąkolwiek usługę? (Can you modify the binary that is executed by any service?)
• Czy możesz zmodyfikować rejestr dowolnej usługi? (Can you modify the registry of any service?)
• Czy możesz wykorzystać jakąkolwiek nieprawidłowo zacytowaną ścieżkę binarki usługi? (Can you take advantage of any unquoted service binary path?)

Applications

• Write uprawnienia na zainstalowanych aplikacjach Write permissions on installed applications
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• Czy możesz zapisać w jakimkolwiek folderze w PATH? (Can you write in any folder inside PATH?)
• Czy istnieje jakaś znana binarka usługi, która próbuje załadować nieistniejącą DLL? (Is there any known service binary that tries to load any non-existant DLL?)
• Czy możesz zapisać w jakimkolwiek folderze binarek? (Can you write in any binaries folder?)

Network

• Zenumeruj sieć (shares, interfaces, routes, neighbours, ...)
• Zwróć szczególną uwagę na usługi sieciowe nasłuchujące na localhost (127.0.0.1)

Windows Credentials

• Winlogon poświadczenia
• Windows Vault poświadczenia, których możesz użyć?
• Interesujące DPAPI credentials?
• Hasła zapisanych Wifi networks?
• Ciekawe informacje w saved RDP Connections?
• Hasła w recently run commands?
• Remote Desktop Credentials Manager hasła?
• Czy istnieje AppCmd.exe? Poświadczenia?
• SCClient.exe? DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds and SSH host keys
• SSH keys in registry?
• Hasła w unattended files?
• Jakiekolwiek backupy SAM & SYSTEM?
• Cloud credentials?
• McAfee SiteList.xml plik?
• Cached GPP Password?
• Hasło w IIS Web config file?
• Ciekawe informacje w web logs?
• Czy chcesz ask for credentials od użytkownika?
• Ciekawe files inside the Recycle Bin?
• Inne registry containing credentials?
• Wewnątrz Browser data (dbs, history, bookmarks, ...)?
• Generic password search w plikach i rejestrze
• Tools do automatycznego wyszukiwania haseł

Leaked Handlers

• Czy masz dostęp do jakiegokolwiek handle procesu uruchomionego przez administratora? (Have you access to any handler of a process run by administrator?)

Pipe Client Impersonation

• Sprawdź czy możesz to nadużyć (Check if you can abuse it)