Checklist - Élévation de privilèges locale Windows

Tip

Apprenez et pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Parcourez le catalogue complet de HackTricks Training pour les parcours d’évaluation (ARTA/GRTA/AzRTA) et Linux Hacking Expert (LHE).

Support HackTricks

• Consultez les subscription plans!
• Rejoignez 💬 le groupe Discord, le groupe telegram, suivez @hacktricks_live sur X/Twitter, ou consultez la page LinkedIn et la chaîne YouTube.
• Partagez des hacking tricks en soumettant des PRs aux dépôts github HackTricks et HackTricks Cloud.

Meilleur outil pour rechercher des vecteurs d’élévation de privilèges locale Windows: WinPEAS

System Info

• Obtenir System information
• Rechercher des [exploits kernel à l’aide de scripts
• Utiliser Google pour rechercher des exploits kernel
• Utiliser searchsploit pour rechercher des exploits kernel
• Infos intéressantes dans les env vars?
• Des mots de passe dans l’historique PowerShell](windows-local-privilege-escalation/index.html#powershell-history)?
• Infos intéressantes dans les Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Vérifier les paramètres Audit et WEF
• Vérifier LAPS
• Vérifier si WDigest est actif
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Vérifier s’il y a un AV
• AppLocker Policy?
• UAC
• Admin Protection / UIAccess silent elevation?
• Secure Desktop accessibility registry propagation (RegPwn)?
• User Privileges
• Vérifier les privilèges de l’utilisateur actuel](windows-local-privilege-escalation/index.html#users-and-groups)
• Êtes-vous membre d’un groupe privilégié?
• Vérifier si vous avez l’un de ces tokens activés](windows-local-privilege-escalation/index.html#token-manipulation): SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Vérifier si vous avez SeManageVolumePrivilege pour lire les volumes bruts et contourner les ACL des fichiers
• Users Sessions?
• Vérifier les home folders des utilisateurs (access ?)
• Vérifier la Password Policy
• Que contient le Presse-papiers ?

Network

• Vérifier les network information actuelles
• Vérifier les services locaux cachés restreints depuis l’extérieur

Running Processes

• Binaires des processus file and folders permissions
• Memory Password mining
• Insecure GUI apps
• Voler des identifiants avec des processus intéressants via ProcDump.exe ? (firefox, chrome, etc …)

Services

• Pouvez-vous modifier un service ?](windows-local-privilege-escalation/index.html#permissions)
• Pouvez-vous modifier le binaire exécuté par un service ?](windows-local-privilege-escalation/index.html#modify-service-binary-path)
• Pouvez-vous modifier le registre d’un service ?](windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
• Pouvez-vous exploiter un unquoted service binary path ?](windows-local-privilege-escalation/index.html#unquoted-service-paths)
• Service Triggers: enumerate and trigger privileged services

Applications

• Write permissions on installed applications
• Startup Applications
• Drivers vulnérables

DLL Hijacking

• Pouvez-vous écrire dans un dossier داخل PATH ?
• Existe-t-il un binaire de service connu qui essaie de charger une DLL inexistante ?
• Pouvez-vous écrire dans un dossier de binaires ?

Network

• Énumérer le réseau (shares, interfaces, routes, neighbours, …)
• Regarder particulièrement les services réseau à l’écoute sur localhost (127.0.0.1)

Windows Credentials

• Winlogon credentials
• Windows Vault credentials que vous pourriez utiliser ?
• DPAPI credentials intéressants ?
• Mots de passe des Wifi networks enregistrés ?
• Infos intéressantes dans les saved RDP Connections ?
• Mots de passe dans les recently run commands ?
• Mots de passe du Remote Desktop Credentials Manager ?
• AppCmd.exe exists ? Credentials ?
• SCClient.exe? DLL Side Loading ?

Files and Registry (Credentials)

• Putty: Creds et SSH host keys
• SSH keys in registry?
• Mots de passe dans des unattended files ?
• Une sauvegarde SAM & SYSTEM ?
• Si SeManageVolumePrivilege est présent, essayez des lectures de volumes bruts pour SAM, SYSTEM, DPAPI material, et MachineKeys
• Cloud credentials?
• Fichier McAfee SiteList.xml ?
• Cached GPP Password?
• Mot de passe dans le fichier de config IIS Web config file?
• Infos intéressantes dans les web logs?
• Voulez-vous demander des identifiants à l’utilisateur ?
• files inside the Recycle Bin intéressants ?
• D’autres registry containing credentials ?
• Dans les Browser data (dbs, history, bookmarks, …) ?
• Generic password search dans les fichiers et le registre
• Tools pour rechercher automatiquement des mots de passe

Leaked Handlers

• Avez-vous accès à un handler d’un processus exécuté par un administrateur ?

Pipe Client Impersonation

• Vérifier si vous pouvez en abuser

References

• Project Zero - Bypassing Administrator Protection by Abusing UI Access
• MDSec - RIP RegPwn

Tip

Apprenez et pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Parcourez le catalogue complet de HackTricks Training pour les parcours d’évaluation (ARTA/GRTA/AzRTA) et Linux Hacking Expert (LHE).

Support HackTricks

• Consultez les subscription plans!
• Rejoignez 💬 le groupe Discord, le groupe telegram, suivez @hacktricks_live sur X/Twitter, ou consultez la page LinkedIn et la chaîne YouTube.
• Partagez des hacking tricks en soumettant des PRs aux dépôts github HackTricks et HackTricks Cloud.