HackTricks检查清单 - Local Windows Privilege Escalation
Tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
用于查找 Windows local privilege escalation 向量的最佳工具: WinPEAS
系统信息
- 获取 系统信息
- 搜索 kernel exploits using scripts
- 使用 Google 搜索 kernel exploits
- 使用 searchsploit 搜索 kernel exploits
- 在 环境变量 中有有趣的信息?
- 在 PowerShell history 中有密码?
- 在 Internet settings 中有有趣的信息?
- Drives?
- WSUS exploit?
- Third-party agent auto-updaters / IPC abuse
- AlwaysInstallElevated?
Logging/AV enumeration
- 检查 Audit 和 WEF 设置
- 检查 LAPS
- 检查 WDigest 是否启用
- LSA Protection?
- Credentials Guard?(参见 Cached Credentials)
- Cached Credentials?
- 检查是否有任何 AV
- AppLocker Policy?
- UAC
- User Privileges
- 检查当前用户的 privileges (权限) (参见 Users and Groups)
- 你是否为 member of any privileged group?
- 检查是否启用了以下任一 token(tokens):SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege?
- Users Sessions?
- 检查 users homes(访问权限?)
- 检查 Password Policy
- 剪贴板里有什么?(参见 inside the Clipboard)
Network
- 检查当前的 network information
- 检查对外有限制但可被本地访问的隐藏本地服务
Running Processes
- 进程二进制文件的 file and folders permissions
- Memory Password mining
- Insecure GUI apps
- 使用
ProcDump.exe从有趣的进程窃取凭证?(例如 firefox, chrome 等)
Services
- 能否 修改任何 service?(参见 permissions)
- 能否 修改任何 service 所执行的 binary?(参见 modify-service-binary-path)
- 能否 修改任何 service 的 registry?(参见 services-registry-modify-permissions)
- 能否利用 unquoted service binary path?
- Service Triggers:枚举并触发有特权的服务(参见 windows-local-privilege-escalation/service-triggers.md)
Applications
- 已安装应用是否有 写入权限?(参见 write-permissions)
- Startup Applications
- Vulnerable Drivers
DLL Hijacking
- 能否在 PATH 中的任何文件夹写入?
- 是否有已知的 service binary 会尝试加载任何不存在的 DLL?
- 能否写入任何 binaries folder?
Network
- 枚举网络(shares, interfaces, routes, neighbours, …)
- 特别注意监听在 localhost (127.0.0.1) 的网络服务
Windows Credentials
- Winlogon 凭证
- Windows Vault 中有可用的凭证吗?
- 有趣的 DPAPI credentials?
- 保存的 Wifi networks 的密码?
- 在 saved RDP Connections 中有有趣的信息?
- 在 recently run commands 中有密码?
- Remote Desktop Credentials Manager 密码?
- AppCmd.exe exists?凭证?
- SCClient.exe?DLL Side Loading?
Files and Registry (Credentials)
- Putty: Creds 和 SSH host keys
- SSH keys in registry?
- 在 unattended files 中有密码?
- 是否有任何 SAM & SYSTEM 备份?
- Cloud credentials?
- 有 McAfee SiteList.xml 文件?
- Cached GPP Password?
- 在 IIS Web config file 中的密码?
- 在 web logs 中有有趣的信息?
- 想要向用户ask for credentials吗?
- 回收站中的有趣文件(参见 credentials-in-the-recyclebin)?
- 其他包含凭证的 registry?
- 在 Browser data 中(dbs, history, bookmarks, …)?
- 在文件和注册表中进行 Generic password search
- 使用 Tools 自动搜索密码
Leaked Handlers
- 你能否访问由管理员运行的进程的任何 handler?
Pipe Client Impersonation
- 检查是否可以滥用它
Tip
学习和实践 AWS 黑客技术:
学习和实践 GCP 黑客技术:支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。