Lista kontrolna - Lokalna eskalacja uprawnień w systemie Windows

Reading time: 6 minutes

Najlepsze narzędzie do wyszukiwania wektorów lokalnej eskalacji uprawnień w systemie Windows: WinPEAS

Informacje o systemie

• Uzyskaj Informacje o systemie
• Szukaj eksploatacji jądra za pomocą skryptów
• Użyj Google do wyszukiwania eksploatacji jądra
• Użyj searchsploit do wyszukiwania eksploatacji jądra
• Ciekawe informacje w zmiennych środowiskowych?
• Hasła w historii PowerShell?
• Ciekawe informacje w ustawieniach Internetu?
• Dyski?
• Eksploatacja WSUS?
• AlwaysInstallElevated?

Logowanie/wyliczanie AV

• Sprawdź ustawienia Audytu i WEF
• Sprawdź LAPS
• Sprawdź, czy WDigest jest aktywny
• Ochrona LSA?
• Credentials Guard?
• Cached Credentials?
• Sprawdź, czy jakikolwiek AV
• Polityka AppLocker?
• UAC
• Uprawnienia użytkowników
• Sprawdź aktualne uprawnienia użytkownika
• Czy jesteś członkiem jakiejkolwiek grupy z uprawnieniami?
• Sprawdź, czy masz jakiekolwiek z tych tokenów włączonych: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Sesje użytkowników?
• Sprawdź domy użytkowników (dostęp?)
• Sprawdź Politykę haseł
• Co jest w schowku?

Sieć

• Sprawdź aktualne informacje o sieci
• Sprawdź ukryte lokalne usługi ograniczone do zewnątrz

Uruchamiane procesy

• Uprawnienia plików i folderów binariów procesów
• Wydobywanie haseł z pamięci
• Niebezpieczne aplikacje GUI
• Kradnij dane uwierzytelniające z interesujących procesów za pomocą ProcDump.exe ? (firefox, chrome, itd...)

Usługi

• Czy możesz zmodyfikować jakąkolwiek usługę?
• Czy możesz zmodyfikować binarne pliki, które są wykonywane przez jakąkolwiek usługę?
• Czy możesz zmodyfikować rejestr jakiejkolwiek usługi?
• Czy możesz skorzystać z jakiejkolwiek niecytowanej ścieżki binarnej usługi?

Aplikacje

• Uprawnienia do zapisu na zainstalowanych aplikacjach
• Aplikacje uruchamiane przy starcie
• Vulnerable Sterowniki

DLL Hijacking

• Czy możesz zapisać w jakimkolwiek folderze w PATH?
• Czy istnieje jakikolwiek znany plik binarny usługi, który próbuje załadować jakąkolwiek nieistniejącą DLL?
• Czy możesz zapisać w jakimkolwiek folderze binarnym?

Sieć

• Wylicz sieć (udostępnienia, interfejsy, trasy, sąsiedzi, ...)
• Zwróć szczególną uwagę na usługi sieciowe nasłuchujące na localhost (127.0.0.1)

Dane uwierzytelniające systemu Windows

• Winlogon dane uwierzytelniające
• Windows Vault dane uwierzytelniające, które możesz wykorzystać?
• Ciekawe dane uwierzytelniające DPAPI?
• Hasła zapisanych sieci Wifi?
• Ciekawe informacje w zapisanych połączeniach RDP?
• Hasła w niedawno uruchomionych poleceniach?
• Menadżer poświadczeń pulpitu zdalnego hasła?
• AppCmd.exe istnieje? Dane uwierzytelniające?
• SCClient.exe? Ładowanie DLL z boku?

Pliki i rejestr (Dane uwierzytelniające)

• Putty: Dane i klucze hosta SSH
• Klucze SSH w rejestrze?
• Hasła w plikach bezobsługowych?
• Jakiekolwiek kopie zapasowe SAM & SYSTEM?
• Dane uwierzytelniające w chmurze?
• Plik McAfee SiteList.xml?
• Cached GPP Password?
• Hasło w plikach konfiguracyjnych IIS?
• Ciekawe informacje w logach?
• Czy chcesz poprosić użytkownika o dane uwierzytelniające?
• Ciekawe pliki w Koszu?
• Inne rejestry zawierające dane uwierzytelniające?
• Wewnątrz danych przeglądarki (bazy danych, historia, zakładki, ...)?
• Ogólne wyszukiwanie haseł w plikach i rejestrze
• Narzędzia do automatycznego wyszukiwania haseł

Wyciekające handlerzy

• Czy masz dostęp do jakiegokolwiek handlera procesu uruchomionego przez administratora?

Impersonacja klienta Pipe

• Sprawdź, czy możesz to wykorzystać