Чеклист - Локальне підвищення привілеїв Windows

Reading time: 6 minutes

Найкращий інструмент для пошуку векторів локального підвищення привілеїв Windows: WinPEAS

Інформація про систему

• Отримати інформацію про систему
• Шукати експлойти ядра за допомогою скриптів
• Використовувати Google для пошуку експлойтів ядра
• Використовувати searchsploit для пошуку експлойтів ядра
• Цікава інформація в змінних середовища?
• Паролі в історії PowerShell?
• Цікава інформація в налаштуваннях Інтернету?
• Диски?
• Експлойт WSUS?
• AlwaysInstallElevated?

Перерахування журналів/AV

• Перевірити налаштування аудиту та WEF
• Перевірити LAPS
• Перевірити, чи активний WDigest
• Захист LSA?
• Credentials Guard?
• Кешовані облікові дані?
• Перевірити, чи є AV
• Політика AppLocker?
• UAC
• Привілеї користувача
• Перевірити привілеї поточного користувача
• Чи є ви членом будь-якої привілейованої групи?
• Перевірити, чи є у вас будь-які з цих токенів, активованих: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Сесії користувачів?
• Перевірити домашні папки користувачів (доступ?)
• Перевірити Політику паролів
• Що всередині буфера обміну?

Мережа

• Перевірити поточну мережеву інформацію
• Перевірити приховані локальні служби, обмежені для зовнішнього доступу

Запущені процеси

• Бінарні файли процесів дозволи на файли та папки
• Видобуток паролів з пам'яті
• Небезпечні GUI додатки
• Вкрасти облікові дані з цікавих процесів за допомогою ProcDump.exe ? (firefox, chrome тощо ...)

Служби

• Чи можете ви модифікувати будь-яку службу?
• Чи можете ви модифікувати бінарний файл, який виконується будь-якою службою?
• Чи можете ви модифікувати реєстр будь-якої служби?
• Чи можете ви скористатися будь-яким нецитованим шляхом бінарного файлу служби?

Додатки

• Записати дозволи на встановлені додатки
• Додатки автозавантаження
• Вразливі драйвери

DLL Hijacking

• Чи можете ви записувати в будь-яку папку всередині PATH?
• Чи є відомий бінарний файл служби, який намагається завантажити будь-який неіснуючий DLL?
• Чи можете ви записувати в будь-якій папці бінарних файлів?

Мережа

• Перерахувати мережу (спільні ресурси, інтерфейси, маршрути, сусіди тощо ...)
• Уважно перевірити мережеві служби, що слухають на localhost (127.0.0.1)

Облікові дані Windows

• Облікові дані Winlogon
• Облікові дані Windows Vault, які ви могли б використовувати?
• Цікаві облікові дані DPAPI?
• Паролі збережених Wifi мереж?
• Цікава інформація в збережених RDP з'єднаннях?
• Паролі в недавніх командах?
• Паролі менеджера облікових даних віддаленого робочого столу?
• Чи існує AppCmd.exe? Облікові дані?
• SCClient.exe? Завантаження DLL з боку?

Файли та реєстр (Облікові дані)

• Putty: Облікові дані та SSH ключі хоста
• SSH ключі в реєстрі?
• Паролі в непідконтрольних файлах?
• Будь-яка резервна копія SAM & SYSTEM?
• Облікові дані хмари?
• Файл McAfee SiteList.xml?
• Кешований GPP пароль?
• Пароль у файлі конфігурації IIS?
• Цікава інформація в веб журналах?
• Чи хочете ви попросити облікові дані у користувача?
• Цікаві файли в кошику?
• Інші реєстри, що містять облікові дані?
• Всередині даних браузера (бази даних, історія, закладки тощо)?
• Загальний пошук паролів у файлах та реєстрі
• Інструменти для автоматичного пошуку паролів

Витік обробників

• Чи маєте ви доступ до будь-якого обробника процесу, запущеного адміністратором?

Імітація клієнта Pipe

• Перевірте, чи можете ви це зловживати