Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 22:20:43 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['windows-hardening/windows-local-privilege-escalation/privil

Browse source
This commit is contained in:
Translator 2024-06-17 08:59:05 +00:00
parent c490d2e384
commit 83308384ca
1 changed files with 39 additions and 39 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

78
windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md
View file

@ -2,12 +2,12 @@
<details>
<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
<summary><strong>Jifunze AWS hacking kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Unataka kuona **kampuni yako ikionyeshwa kwenye HackTricks**? au unataka kupata upatikanaji wa **toleo jipya la PEASS au kupakua HackTricks kwa PDF**? Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Unataka kuona **kampuni yako ikitangazwa kwenye HackTricks**? au unataka kupata upatikanaji wa **toleo jipya la PEASS au kupakua HackTricks kwa PDF**? Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **nifuata** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* Pata [**swag rasmi wa PEASS & HackTricks**](https://peass.creator-spring.com)
* **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **fuata** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**repo ya hacktricks**](https://github.com/carlospolop/hacktricks) **na** [**repo ya hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
@ -20,11 +20,11 @@ Ikiwa **hujui ni nini Vitambulisho vya Kufikia Windows** soma ukurasa huu kabla
[access-tokens.md](access-tokens.md)
{% endcontent-ref %}
**Labda unaweza kuwa na uwezo wa kudhuru vitambulisho unavyo tayari**
**Labda unaweza kuwa na uwezo wa kudhuru vitambulisho ulivyonavyo tayari**
### SeImpersonatePrivilege
Hii ni haki inayoshikiliwa na mchakato wowote inayoruhusu uigaji (lakini sio uumbaji) wa vitambulisho vyovyote, ikizingatiwa kwamba kushika kwa hicho kunaweza kupatikana. Vitambulisho vilivyo na haki vinaweza kupatikana kutoka kwa huduma ya Windows (DCOM) kwa kuchochea kufanya uthibitishaji wa NTLM dhidi ya shambulio, kisha kuruhusu utekelezaji wa mchakato na haki za SYSTEM. Udhaifu huu unaweza kutumiwa kwa kutumia zana mbalimbali, kama vile [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (ambayo inahitaji winrm iwe imelemazwa), [SweetPotato](https://github.com/CCob/SweetPotato), na [PrintSpoofer](https://github.com/itm4n/PrintSpoofer).
Hii ni haki inayoshikiliwa na mchakato wowote inayoruhusu uigaji (lakini sio uumbaji) wa kifungo chochote, ikitoa kwamba kushika kifungo kunaweza kupatikana. Kifungo cha kuheshimiwa kinaweza kupatikana kutoka kwa huduma ya Windows (DCOM) kwa kuiwezesha kufanya uthibitishaji wa NTLM dhidi ya shambulio, kisha kuwezesha utekelezaji wa mchakato na mamlaka ya SYSTEM. Udhaifu huu unaweza kutumiwa kwa kutumia zana mbalimbali, kama vile [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (ambayo inahitaji winrm iwe imelemazwa), [SweetPotato](https://github.com/CCob/SweetPotato), na [PrintSpoofer](https://github.com/itm4n/PrintSpoofer).
{% content-ref url="roguepotato-and-printspoofer.md" %}
[roguepotato-and-printspoofer.md](roguepotato-and-printspoofer.md)
@ -36,23 +36,23 @@ Hii ni haki inayoshikiliwa na mchakato wowote inayoruhusu uigaji (lakini sio uum
### SeAssignPrimaryPrivilege
Ni sawa sana na **SeImpersonatePrivilege**, itatumia **njia ile ile** kupata vitambulisho vilivyo na haki.\
Kisha, haki hii inaruhusu **kuweka kipaumbele cha vitambulisho** kwa mchakato mpya/uliosimamishwa. Kwa vitambulisho vya uigaji vilivyo na haki unaweza kuzalisha kipaumbele cha msingi (DuplicateTokenEx).\
Kwa kutumia vitambulisho, unaweza kuunda **mchakato mpya** na 'CreateProcessAsUser' au kuunda mchakato uliosimamishwa na **kuweka kipaumbele cha vitambulisho** (kwa ujumla, huwezi kurekebisha kipaumbele cha msingi cha mchakato unaotumika).
Ni sawa sana na **SeImpersonatePrivilege**, itatumia **njia ile ile** kupata kifungo cha mamlaka.\
Kisha, haki hii inaruhusu **kuweka kifungo cha msingi** kwa mchakato mpya/uliosimamishwa. Kwa kifungo cha uigaji kilichopewa mamlaka unaweza kuzalisha kifungo cha msingi (DuplicateTokenEx).\
Kwa kifungo, unaweza kuunda **mchakato mpya** na 'CreateProcessAsUser' au kuunda mchakato uliosimamishwa na **kuweka kifungo** (kwa ujumla, huwezi kurekebisha kifungo cha msingi cha mchakato unaofanya kazi).
### SeTcbPrivilege
Ikiwa umewezesha kibali hiki unaweza kutumia **KERB\_S4U\_LOGON** kupata **vitambulisho vya uigaji** kwa mtumiaji mwingine yeyote bila kujua siri, **kuongeza kikundi cha aina yoyote** (wasimamizi) kwenye kibali, kuweka **kiwango cha usalama** cha kibali kuwa "**wa kati**", na kuweka kibali hiki kwa **mnyororo wa sasa** (SetThreadToken).
Ikiwa umewezesha kifungo hiki unaweza kutumia **KERB\_S4U\_LOGON** kupata **kifungo cha uigaji** kwa mtumiaji mwingine yeyote bila kujua siri, **kuongeza kikundi cha aina yoyote** (wasimamizi) kwenye kifungo, kuweka **kiwango cha usalama** cha kifungo kuwa "**wa kati**", na kuweka kifungo hiki kwa **mchakato wa sasa** (SetThreadToken).
### SeBackupPrivilege
Mfumo unahimizwa kutoa **ufikiaji wa kusoma wote** kwa faili yoyote (mdogo kwa shughuli za kusoma) kwa kibali hiki. Hutumiwa kwa **kusoma nywila za wakala wa Msimamizi wa Mitaa** kutoka kwa usajili, kufuatia ambayo, zana kama "**psexec**" au "**wmicexec**" zinaweza kutumika na hash (mbinu ya Pass-the-Hash). Walakini, mbinu hii inashindwa chini ya hali mbili: wakati akaunti ya Msimamizi wa Mitaa imelemazwa, au wakati sera inawekwa ambayo inaondoa haki za usimamizi kutoka kwa Msimamizi wa Mitaa anayeunganisha kijijini.\
Mfumo unalazimishwa **kutoa udhibiti wa kusoma** kwa faili yoyote (imepunguzwa kwa shughuli za kusoma) kwa kibali hiki. Inatumika kwa **kusoma vibonye vya nywila za akaunti za Wasimamizi wa Mitaa** kutoka kwenye usajili, kufuatia hivyo, zana kama "**psexec**" au "**wmicexec**" zinaweza kutumika na kibonye hicho (mbinu ya Pass-the-Hash). Walakini, mbinu hii inashindwa chini ya hali mbili: wakati akaunti ya Msimamizi wa Mitaa imelemazwa, au wakati sera inawekwa ambayo inaondoa haki za utawala kutoka kwa Wasimamizi wa Mitaa wanaounganisha kijijini.\
Unaweza **kudhuru kibali hiki** na:
* [https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1](https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1)
* [https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug](https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug)
* kufuata **IppSec** katika [https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec](https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec)
* Au kama ilivyoelezwa katika sehemu ya **kudhuru vitambulisho na waendeshaji wa Nakala za Kurejesha** ya:
* Au kama ilivyoelezwa katika sehemu ya **kudhuru mamlaka na Waendeshaji wa Nakala za Kurejesha** ya:
{% content-ref url="../active-directory-methodology/privileged-groups-and-token-privileges.md" %}
[privileged-groups-and-token-privileges.md](../active-directory-methodology/privileged-groups-and-token-privileges.md)
@ -60,21 +60,21 @@ Unaweza **kudhuru kibali hiki** na:
### SeRestorePrivilege
Kibali cha **ufikiaji wa kuandika** kwa faili yoyote ya mfumo, bila kujali Orodha ya Kudhibiti ya Ufikiaji (ACL) ya faili hiyo, kinatolewa na kibali hiki. Hii inafungua fursa nyingi za kudhuru, ikiwa ni pamoja na uwezo wa **kurekebisha huduma**, kutekeleza DLL Hijacking, na kuweka **wadukuzi** kupitia Chaguo za Utekelezaji wa Faili ya Picha kati ya mbinu mbalimbali.
Ruhusa ya **upatikanaji wa kuandika** kwa faili yoyote ya mfumo, bila kujali Orodha ya Kudhibiti Upatikanaji (ACL) ya faili hiyo, inatolewa na kibali hiki. Inafungua fursa nyingi za kudhuru, ikiwa ni pamoja na uwezo wa **kurekebisha huduma**, kutekeleza DLL Hijacking, na kuweka **debuggers** kupitia Chaguo za Utekelezaji wa Faili ya Picha kati ya mbinu mbalimbali.
### SeCreateTokenPrivilege
SeCreateTokenPrivilege ni kibali chenye nguvu, hasa muhimu wakati mtumiaji ana uwezo wa kudai vitambulisho, lakini pia bila SeImpersonatePrivilege. Uwezo huu unategemea uwezo wa kudai vitambulisho vinavyowakilisha mtumiaji huyo huyo na ambao kiwango chake cha usalama hakiendi zaidi ya kiwango cha sasa cha mchakato.
SeCreateTokenPrivilege ni kibali chenye nguvu, hasa muhimu wakati mtumiaji ana uwezo wa kudanganya vitambulisho, lakini pia bila SeImpersonatePrivilege. Uwezo huu unategemea uwezo wa kudanganya kibali kinachowakilisha mtumiaji huyo huyo na kiwango chake cha usalama kisizidi kiwango cha mchakato wa sasa.
**Mambo Muhimu:**
* **Uigaji bila SeImpersonatePrivilege:** Inawezekana kutumia SeCreateTokenPrivilege kwa EoP kwa kudai vitambulisho chini ya hali maalum.
* **Hali za Uigaji wa Vitambulisho:** Uigaji mafanikio unahitaji vitambulisho vya lengo kuwa vya mtumiaji huyo huyo na kuwa na kiwango cha usalama ambacho ni kidogo au sawa na kiwango cha usalama cha mchakato unaojaribu uigaji.
* **Uundaji na Marekebisho ya Vitambulisho vya Uigaji:** Watumiaji wanaweza kuunda vitambulisho vya uigaji na kuviboresha kwa kuongeza SID ya kikundi cha haki.
* **Kudanganya bila SeImpersonatePrivilege:** Inawezekana kutumia SeCreateTokenPrivilege kwa EoP kwa kudanganya vitambulisho chini ya hali maalum.
* **Hali za Kudanganya Vitambulisho:** Kudanganya kwa mafanikio kunahitaji kibali cha lengo kuwa cha mtumiaji huyo huyo na kuwa na kiwango cha usalama ambacho ni kidogo au sawa na kiwango cha usalama wa mchakato unaojaribu kudanganya.
* **Uundaji na Urekebishaji wa Vitambulisho vya Kudanganya:** Watumiaji wanaweza kuunda kibali cha kudanganya na kukiimarisha kwa kuongeza SID ya kikundi cha mamlaka.
### SeLoadDriverPrivilege
Kibali hiki kuruhusu **kupakia na kufuta madereva ya kifaa** kwa kuunda kuingiza usajili na thamani maalum kwa `ImagePath` na `Aina`. Kwa kuwa ufikiaji wa kuandika moja kwa moja kwa `HKLM` (HKEY\_LOCAL\_MACHINE) umepunguzwa, `HKCU` (HKEY\_CURRENT\_USER) lazima itumike badala yake. Walakini, ili kufanya `HKCU` iweze kutambulika na kernel kwa usanidi wa dereva, njia maalum lazima ifuatwe.
Kibali hiki kuruhusu **kupakia na kufuta madereva ya kifaa** kwa kuunda kuingiza usajili na thamani maalum kwa `ImagePath` na `Aina`. Kwa kuwa upatikanaji wa kuandika moja kwa moja kwa `HKLM` (HKEY\_LOCAL\_MACHINE) umepunguzwa, `HKCU` (HKEY\_CURRENT\_USER) lazima itumike badala yake. Walakini, ili kufanya `HKCU` iweze kutambulika na kernel kwa usanidi wa dereva, njia maalum lazima ifuatwe.
Njia hii ni `\Registry\User\<RID>\System\CurrentControlSet\Services\DriverName`, ambapo `<RID>` ni Kitambulisho cha Kihusishi cha mtumiaji wa sasa. Ndani ya `HKCU`, njia nzima hii lazima iundwe, na thamani mbili zinahitaji kuwekwa:
@ -83,9 +83,9 @@ Njia hii ni `\Registry\User\<RID>\System\CurrentControlSet\Services\DriverName`,
**Hatua za Kufuata:**
1. Fikia `HKCU` badala ya `HKLM` kutokana na ufikiaji mdogo wa kuandika.
1. Fikia `HKCU` badala ya `HKLM` kutokana na upatikanaji mdogo wa kuandika.
2. Unda njia `\Registry\User\<RID>\System\CurrentControlSet\Services\DriverName` ndani ya `HKCU`, ambapo `<RID>` inawakilisha Kitambulisho cha Kihusishi cha mtumiaji wa sasa.
3. Weka `ImagePath` kuwa njia ya utekelezaji wa binary.
3. Weka `ImagePath` kwa njia ya utekelezaji wa binary.
4. Weka `Aina` kama `SERVICE_KERNEL_DRIVER` (`0x00000001`).
```python
# Example Python code to set the registry values
@ -98,7 +98,7 @@ reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)
```
Njia zaidi za kutumia haki hii kwa [https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege)
Njia zaidi za kutumia haki hii katika [https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege)
### SeTakeOwnershipPrivilege
@ -120,11 +120,11 @@ c:\inetpub\wwwwroot\web.config
```
### SeDebugPrivilege
Haki hii inaruhusu **kudebugi michakato mingine**, ikiwa ni pamoja na kusoma na kuandika kwenye kumbukumbu. Mikakati mbalimbali ya kuingiza kumbukumbu, inayoweza kuepuka zaidi ya programu za kupambana na virusi na ufumbuzi wa kuzuia uvamizi wa mwenyeji, inaweza kutumika na haki hii.
Haki hii inaruhusu **kudebugi michakato mingine**, ikiwa ni pamoja na kusoma na kuandika kwenye kumbukumbu. Mikakati mbalimbali ya kuingiza kumbukumbu, inayoweza kuepuka zaidi ya programu-jalizi ya antivirus na suluhisho za kuzuia uingizaji wa mwenyeji, inaweza kutumika na haki hii.
#### Pindua kumbukumbu
Unaweza kutumia [ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) kutoka [Suite ya SysInternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite) kwa **kukamata kumbukumbu ya mchakato**. Hasa, hii inaweza kutumika kwa mchakato wa **Local Security Authority Subsystem Service (**[**LSASS**](https://en.wikipedia.org/wiki/Local\_Security\_Authority\_Subsystem\_Service)**)**, ambao unahusika na kuhifadhi sifa za mtumiaji mara tu mtumiaji anapofanikiwa kuingia kwenye mfumo.
Unaweza kutumia [ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) kutoka [Pakiti ya SysInternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite) kwa **kukamata kumbukumbu ya mchakato**. Hasa, hii inaweza kutumika kwa mchakato wa **Local Security Authority Subsystem Service (**[**LSASS**](https://en.wikipedia.org/wiki/Local\_Security\_Authority\_Subsystem\_Service)**)**, ambao unahusika na kuhifadhi sifa za mtumiaji mara tu mtumiaji anapofanikiwa kuingia kwenye mfumo.
Kisha unaweza kupakia pindu hili kwenye mimikatz ili upate nywila:
```
@ -148,33 +148,33 @@ import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<c
```
whoami /priv
```
**Vidakuzi vinavyoonekana kama Vilivyozimwa** vinaweza kuwezeshwa, kwa kweli unaweza kutumia vidakuzi vilivyo **Vilivyowezeshwa** na **Vilivyozimwa**.
**Vitufe vinavyoonekana kama Vilivyozimwa** vinaweza kuwezeshwa, kwa hivyo unaweza kutumia vitufe vilivyo **Vilivyowezeshwa** na **Vilivyozimwa**.
### Wezesha Vidakuzi Vyote
### Wezesha Vitufe Vyote
Ikiwa una vidakuzi vilivyozimwa, unaweza kutumia skripti [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) kuwezesha vidakuzi vyote:
Ikiwa una vitufe vilivyozimwa, unaweza kutumia skripti [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) kuwezesha vitufe vyote:
```powershell
.\EnableAllTokenPrivs.ps1
whoami /priv
```
Au **script** uliowekwa katika [**chapisho hili**](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/).
Au **script** ingiza katika [**chapisho**](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/).
## Jedwali
Mwongozo kamili wa mbinu za kukiuka haki za token unaweza kupatikana hapa [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin), muhtasari hapa chini utaorodhesha njia za moja kwa moja za kutumia haki hiyo kwa lengo la kupata kikao cha msimamizi au kusoma faili nyeti.
Lebo kamili ya mbinu za kukiuka haki za token zinapatikana kwa [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin), muhtasari hapa chini utaorodhesha njia za moja kwa moja za kutumia haki hiyo kwa kupata kikao cha msimamizi au kusoma faili nyeti.
| Haki | Athari | Zana | Njia ya utekelezaji | Maelezo |
| Haki ya Token | Athari | Zana | Njia ya utekelezaji | Maelezo |
| -------------------------- | ----------- | ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **`SeAssignPrimaryToken`** | _**Msimamizi**_ | Zana ya tatu | _"It would allow a user to impersonate tokens and privesc to nt system using tools such as potato.exe, rottenpotato.exe and juicypotato.exe"_ | Asante [Aurélien Chalot](https://twitter.com/Defte\_) kwa sasisho. Nitajaribu kubadilisha maneno kuwa kama mapishi hivi karibuni. |
| **`SeBackup`** | **Tishio** | _**Amri zilizojengwa**_ | Soma faili nyeti kwa kutumia `robocopy /b` | <p>- Inaweza kuwa ya kuvutia zaidi ikiwa unaweza kusoma %WINDIR%\MEMORY.DMP<br><br>- <code>SeBackupPrivilege</code> (na robocopy) haifai linapokuja suala la kufungua faili.<br><br>- Robocopy inahitaji SeBackup na SeRestore kufanya kazi na parameta /b.</p> |
| **`SeCreateToken`** | _**Msimamizi**_ | Zana ya tatu | Unda token ya kupindukia ikiwa ni pamoja na haki za msimamizi wa ndani kwa kutumia `NtCreateToken`. | |
| **`SeDebug`** | _**Msimamizi**_ | **PowerShell** | Nakili token ya `lsass.exe`. | Script inapatikana kwenye [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1) |
| **`SeLoadDriver`** | _**Msimamizi**_ | Zana ya tatu | <p>1. Pakia dereva dhaifu wa kernel kama vile <code>szkg64.sys</code><br>2. Tumia udhaifu wa dereva<br><br>Kwa upande mwingine, haki hiyo inaweza kutumika kufuta dereva zinazohusiana na usalama kwa kutumia amri ya kujengwa ya <code>ftlMC</code>. yaani: <code>fltMC sysmondrv</code></p> | <p>1. Udhaifu wa <code>szkg64</code> umetajwa kama <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15732">CVE-2018-15732</a><br>2. Msimbo wa kudanganya wa <code>szkg64</code> ulibuniwa na <a href="https://twitter.com/parvezghh">Parvez Anwar</a></p> |
| **`SeRestore`** | _**Msimamizi**_ | **PowerShell** | <p>1. Anzisha PowerShell/ISE na haki ya SeRestore ikiwepo.<br>2. Wezesha haki hiyo kwa kutumia <a href="https://github.com/gtworek/PSBits/blob/master/Misc/EnableSeRestorePrivilege.ps1">Enable-SeRestorePrivilege</a>).<br>3. Badilisha jina la utilman.exe kuwa utilman.old<br>4. Badilisha jina la cmd.exe kuwa utilman.exe<br>5. Funga konsoli na bonyeza Win+U</p> | <p>Shambulio linaweza kugunduliwa na programu fulani za AV.</p><p>Njia mbadala inategemea kubadilisha programu za huduma zilizohifadhiwa katika "Program Files" kwa kutumia haki hiyo hiyo</p> |
| **`SeTakeOwnership`** | _**Msimamizi**_ | _**Amri zilizojengwa**_ | <p>1. <code>takeown.exe /f "%windir%\system32"</code><br>2. <code>icalcs.exe "%windir%\system32" /grant "%username%":F</code><br>3. Badilisha jina la cmd.exe kuwa utilman.exe<br>4. Funga konsoli na bonyeza Win+U</p> | <p>Shambulio linaweza kugunduliwa na programu fulani za AV.</p><p>Njia mbadala inategemea kubadilisha programu za huduma zilizohifadhiwa katika "Program Files" kwa kutumia haki hiyo hiyo.</p> |
| **`SeTcb`** | _**Msimamizi**_ | Zana ya tatu | <p>Tumia mbinu za kudanganya kuwa na haki za msimamizi wa ndani zilizojumuishwa. Inaweza kuhitaji SeImpersonate.</p><p>Kuthibitishwa.</p> | |
| **`SeAssignPrimaryToken`** | _**Admin**_ | Zana ya tatu | _"Ingeiruhusu mtumiaji kujifanya kuwa na tokens na kufanya upelelezi wa mfumo wa nt kwa kutumia zana kama vile potato.exe, rottenpotato.exe na juicypotato.exe"_ | Asante [Aurélien Chalot](https://twitter.com/Defte\_) kwa sasisho. Nitajaribu kubadilisha maneno kuwa kama mapishi hivi karibuni. |
| **`SeBackup`** | **Tishio** | _**Amri zilizojengwa**_ | Soma faili nyeti kwa kutumia `robocopy /b` | <p>- Inaweza kuwa ya kuvutia zaidi ikiwa unaweza kusoma %WINDIR%\MEMORY.DMP<br><br>- <code>SeBackupPrivilege</code> (na robocopy) haifai wakati wa kufungua faili.<br><br>- Robocopy inahitaji SeBackup na SeRestore kufanya kazi na kipengele cha /b.</p> |
| **`SeCreateToken`** | _**Admin**_ | Zana ya tatu | Unda token ya kupindukia ikiwa ni pamoja na haki za msimamizi wa ndani kwa kutumia `NtCreateToken`. | |
| **`SeDebug`** | _**Admin**_ | **PowerShell** | Nakili token ya `lsass.exe`. | Script inapatikana kwa [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1) |
| **`SeLoadDriver`** | _**Admin**_ | Zana ya tatu | <p>1. Pakia dereva dhaifu wa kernel kama vile <code>szkg64.sys</code><br>2. Tumia udhaifu wa dereva<br><br>Kwa upande mwingine, haki hiyo inaweza kutumika kufuta dereva zinazohusiana na usalama kwa kutumia amri ya kujengwa ya <code>ftlMC</code>. yaani: <code>fltMC sysmondrv</code></p> | <p>1. Udhaifu wa <code>szkg64</code> umetajwa kama <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15732">CVE-2018-15732</a><br>2. Msimbo wa udhaifu wa <code>szkg64</code> uliumbwa na <a href="https://twitter.com/parvezghh">Parvez Anwar</a></p> |
| **`SeRestore`** | _**Admin**_ | **PowerShell** | <p>1. Anzisha PowerShell/ISE na haki ya SeRestore ikiwepo.<br>2. Wezesha haki hiyo kwa kutumia <a href="https://github.com/gtworek/PSBits/blob/master/Misc/EnableSeRestorePrivilege.ps1">Enable-SeRestorePrivilege</a>).<br>3. Badilisha utilman.exe kuwa utilman.old<br>4. Badilisha cmd.exe kuwa utilman.exe<br>5. Funga konsoli na bonyeza Win+U</p> | <p>Shambulio linaweza kugunduliwa na programu fulani za AV.</p><p>Njia mbadala inategemea kubadilisha programu za huduma zilizohifadhiwa katika "Program Files" kwa kutumia haki hiyo hiyo</p> |
| **`SeTakeOwnership`** | _**Admin**_ | _**Amri zilizojengwa**_ | <p>1. <code>takeown.exe /f "%windir%\system32"</code><br>2. <code>icalcs.exe "%windir%\system32" /grant "%username%":F</code><br>3. Badilisha cmd.exe kuwa utilman.exe<br>4. Funga konsoli na bonyeza Win+U</p> | <p>Shambulio linaweza kugunduliwa na programu fulani za AV.</p><p>Njia mbadala inategemea kubadilisha programu za huduma zilizohifadhiwa katika "Program Files" kwa kutumia haki hiyo hiyo.</p> |
| **`SeTcb`** | _**Admin**_ | Zana ya tatu | <p>Tumia tokens kuwa na haki za msimamizi wa ndani pamoja. Inaweza kuhitaji SeImpersonate.</p><p>Kuthibitishwa.</p> | |
## Marejeo
* Angalia jedwali hili linaloelezea token za Windows: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin)
* Angalia [**karatasi hii**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt) kuhusu kukiuka haki za token.
* Tazama jedwali hili linaloelezea vidhibiti vya Windows tokens: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin)
* Tazama [**karatasi hii**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt) kuhusu upelelezi wa haki za token.