Перевірочний список - Local Windows Privilege Escalation

Reading time: 6 minutes

Найкращий інструмент для пошуку векторів Windows local privilege escalation: WinPEAS

System Info

• Отримати System information
• Шукати kernel exploits using scripts
• Використати Google для пошуку kernel exploits
• Використати searchsploit для пошуку kernel exploits
• Цікава інформація в env vars?
• Паролі в PowerShell history?
• Цікава інформація в Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Перевірити налаштування Audit та WEF
• Перевірити LAPS
• Перевірити, чи активний WDigest
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Перевірити наявність будь-якого AV
• AppLocker Policy?
• UAC
• User Privileges
• Перевірити current user privileges
• Чи є ви member of any privileged group?
• Перевірити, чи маєте будь-який із цих токенів: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Users Sessions?
• Перевірити users homes (доступ?)
• Перевірити Password Policy
• Що знаходиться inside the Clipboard?

Network

• Перевірити current network information
• Перевірити hidden local services, які обмежені зовні

Running Processes

• Права на файли та папки процесів — file and folders permissions
• Memory Password mining
• Insecure GUI apps
• Вкрасти облікові дані з interesting processes за допомогою ProcDump.exe ? (firefox, chrome, etc ...)

Services

• Чи можете ви modify any service? (змінити будь-яку службу) (permissions)?
• Чи можете ви modify бінарний файл, який executed будь-якою service? (modify-service-binary-path)
• Чи можете ви modify реєстр будь-якої service? (services-registry-modify-permissions)
• Чи можна використати будь-який unquoted service binary path?

Applications

• Write права на встановлені застосунки — Write permissions on installed applications
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• Чи можете ви write in any folder inside PATH?
• Чи є відома служба, бінарник якої tries to load any non-existant DLL?
• Чи можете ви write в будь-яку binaries folder?

Network

• Просканувати мережу (shares, interfaces, routes, neighbours, ...)
• Особливу увагу приділити мережевим сервісам, які слухають на localhost (127.0.0.1)

Windows Credentials

• Winlogon credentials
• Чи є облікові дані в Windows Vault, які можна використати?
• Цікаві DPAPI credentials?
• Паролі збережених Wifi networks?
• Цікава інформація в saved RDP Connections?
• Паролі в recently run commands?
• Remote Desktop Credentials Manager паролі?
• AppCmd.exe exists? Credentials?
• SCClient.exe? DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds and SSH host keys
• SSH keys in registry?
• Паролі в unattended files?
• Будь-який резервний файл SAM & SYSTEM?
• Cloud credentials?
• McAfee SiteList.xml файл?
• Cached GPP Password?
• Пароль в IIS Web config file?
• Цікава інформація в web logs?
• Хочете ask for credentials у користувача?
• Цікаві files inside the Recycle Bin?
• Інші registry containing credentials?
• Всередині Browser data (dbs, history, bookmarks, ...)?
• Generic password search у файлах та реєстрі
• Tools для автоматичного пошуку паролів

Leaked Handlers

• Чи маєте доступ до будь-якого handler процесу, що запущений від імені адміністратора?

Pipe Client Impersonation

• Перевірити, чи можна це зловживати