hacktricks/windows-hardening/checklist-windows-privilege-escalation.md

Lista de verificación - Escalada de privilegios local en Windows

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén la merchandising oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Mejor herramienta para buscar vectores de escalada de privilegios locales en Windows: WinPEAS

Información del sistema

• Obtener información del sistema
• Buscar exploits de kernel usando scripts
• Usar Google para buscar exploits de kernel
• Usar searchsploit para buscar exploits de kernel
• ¿Información interesante en las variables de entorno?
• Contraseñas en el historial de PowerShell?
• Información interesante en la configuración de Internet?
• Unidades?
• Explotación de WSUS?
• AlwaysInstallElevated?

Enumeración de registro/AV

• Verificar la configuración de Auditoría y WEF
• Verificar LAPS
• Verificar si está activo WDigest
• Protección de LSA?
• Guardia de credenciales?
• Credenciales en caché?
• Verificar si hay algún AV
• Política de AppLocker?
• UAC
• Privilegios de usuario
• Verificar los privilegios actuales del usuario
• ¿Eres miembro de algún grupo privilegiado?
• Verificar si tienes habilitados alguno de estos tokens (windows-local-privilege-escalation/#token-manipulation): SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Sesiones de usuarios?
• Verificar los directorios de inicio de los usuarios (¿acceso?)
• Verificar la política de contraseñas
• ¿Qué hay dentro del portapapeles?

Red

• Verificar la información de red actual
• Verificar los servicios locales ocultos restringidos al exterior

Procesos en ejecución

• Permisos de archivos y carpetas de binarios de procesos
• Extracción de contraseñas de memoria
• Aplicaciones GUI inseguras

Servicios

• ¿Puedes modificar algún servicio?](windows-local-privilege-escalation#permissions)
• ¿Puedes modificar el binario que es ejecutado por algún servicio?](windows-local-privilege-escalation/#modify-service-binary-path)
• ¿Puedes modificar el registro de algún servicio?](windows-local-privilege-escalation/#services-registry-modify-permissions)
• ¿Puedes aprovechar algún binario de servicio sin comillas en la ruta?](windows-local-privilege-escalation/#unquoted-service-paths)

Aplicaciones

• Permisos de escritura en aplicaciones instaladas](windows-local-privilege-escalation/#write-permissions)
• Aplicaciones de inicio
• Controladores vulnerables](windows-local-privilege-escalation/#drivers)

Secuestro de DLL

• ¿Puedes escribir en cualquier carpeta dentro de la RUTA?
• ¿Hay algún binario de servicio conocido que intente cargar alguna DLL inexistente?
• ¿Puedes escribir en alguna carpeta de binarios?

Red

• Enumerar la red (compartidos, interfaces, rutas, vecinos, ...)
• Prestar especial atención a los servicios de red que escuchan en localhost (127.0.0.1)

Credenciales de Windows

• Credenciales de Winlogon
• Credenciales de Windows Vault que podrías usar?
• ¿Credenciales de DPAPI interesantes?
• Contraseñas de redes Wifi guardadas](windows-local-privilege-escalation/#wifi)?
• Información interesante en conexiones RDP guardadas?
• Contraseñas en comandos ejecutados recientemente?
• Administrador de credenciales de Escritorio Remoto contraseñas?
• AppCmd.exe existe? ¿Credenciales?
• SCClient.exe? ¿Carga lateral de DLL?

Archivos y Registro (Credenciales)

• Putty: Credenciales y claves de host SSH
• ¿Claves SSH en el registro](windows-local-privilege-escalation/#ssh-keys-in-registry)?
• Contraseñas en archivos sin supervisión?
• ¿Algún respaldo de SAM & SYSTEM?
• Credenciales de la nube?
• Archivo McAfee SiteList.xml?
• Contraseña GPP en caché?
• Contraseña en el archivo de configuración web de IIS?
• Información interesante en registros web?
• ¿Quieres solicitar credenciales al usuario?
• Información interesante en los archivos dentro de la Papelera de reciclaje?
• Otro registro que contiene credenciales?
• Dentro de los datos del navegador (bases de datos, historial, marcadores, ...)?
• Búsqueda genérica de contraseñas en archivos y registro
• Herramientas para buscar automáticamente contraseñas

Manejadores filtrados

• ¿Tienes acceso a algún manejador de un proceso ejecutado por el administrador?

Impersonación de cliente de tubería

• Verificar si puedes abusar de ello