HackTricks

Hacktricks Training Twitter Linkedin Sponsor

Hacktricks Training Twitter Linkedin Sponsor

Translations

Checklist - Local Windows Privilege Escalation

Reading time: 8 minutes

tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Best tool to look for Windows local privilege escalation vectors: WinPEAS

System Info

获取 System information
搜索 kernel exploits using scripts
使用 Google 搜索 kernel exploits
使用 searchsploit 搜索 kernel exploits
env vars 中有有趣信息吗？
PowerShell history 中有密码吗？
Internet settings 中有有趣信息吗？
Drives？
WSUS exploit？
Third-party agent auto-updaters / IPC abuse
AlwaysInstallElevated？

Logging/AV enumeration

检查 Audit 和 WEF 设置
检查 LAPS
检查 WDigest 是否启用
LSA Protection？
Credentials Guard？
Cached Credentials？
检查是否有任何 AV
AppLocker Policy？
UAC
User Privileges
检查当前用户的 privileges (权限) (查看 current user privileges)
你是 member of any privileged group 吗？
检查是否拥有 any of these tokens enabled: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
Users Sessions？
检查 users homes（访问权限？）
检查 Password Policy
查看剪贴板中有什么内容 inside the Clipboard？

Network

检查当前的 network information
检查对外受限的 hidden local services

Running Processes

进程二进制文件和文件夹的 file and folders permissions
Memory Password mining
Insecure GUI apps
使用 ProcDump.exe 从有价值的进程窃取凭据？（firefox, chrome 等）

Services

能否 modify any service？(修改任何服务？) (查看权限)
能否 modify 服务所 执行的 binary？(修改服务执行的二进制文件？)
能否 modify 任何服务的 registry？(修改服务注册表？)
能否利用任何 unquoted service binary path？(未引用的服务路径？)

Applications

安装的应用是否有 write permissions on installed applications
Startup Applications
Vulnerable Drivers

DLL Hijacking

你能否 write in any folder inside PATH？
是否有已知的服务二进制会尝试加载不存在的 DLL？
你能否 write 到任何 binaries folder？

Network

枚举网络（shares, interfaces, routes, neighbours, ...）
特别关注监听在 localhost (127.0.0.1) 的网络服务

Windows Credentials

Winlogon 凭据
有可用的 Windows Vault 凭据吗？
有有价值的 DPAPI credentials 吗？
保存的 Wifi networks 的密码？
saved RDP Connections 中有有趣信息吗？
recently run commands 中有密码吗？
Remote Desktop Credentials Manager 的密码？
AppCmd.exe exists？凭据？
SCClient.exe？DLL Side Loading？

Files and Registry (Credentials)

Putty: Creds and SSH host keys
注册表中有 SSH keys in registry？
unattended files 中有密码吗？
有任何 SAM & SYSTEM 备份吗？
有 Cloud credentials 吗？
有 McAfee SiteList.xml 文件吗？
有 Cached GPP Password 吗？
IIS Web config file 中有密码吗？
日志中有有趣信息吗？web logs
想要向用户请求凭据吗？ask for credentials
回收站中的有趣文件？files inside the Recycle Bin
其他包含凭据的 registry containing credentials
浏览器数据中有有价值信息吗？Browser data (dbs, history, bookmarks, ...)
在文件和注册表中进行 Generic password search
使用可以自动搜索密码的 Tools

Leaked Handlers

你能访问由管理员运行的进程的任何 handler 吗？

Pipe Client Impersonation

检查是否可以滥用

tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Authentication Credentials Uac And Efs Windows Local Privilege Escalation