Checklist - Local Windows Privilege Escalation

Tip

Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вчіться та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Перегляньте повний каталог HackTricks Training для assessment tracks (ARTA/GRTA/AzRTA) і Linux Hacking Expert (LHE).

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 Discord group, telegram group, слідкуйте за @hacktricks_live на X/Twitter, або перегляньте сторінку LinkedIn і YouTube channel.
• Діліться hacking tricks, надсилаючи PRs до репозиторіїв github HackTricks і HackTricks Cloud.

Найкращий tool для пошуку векторів Windows local privilege escalation: WinPEAS

System Info

• Отримати System information
• Шукати kernel exploits using scripts
• Використати Google to search для пошуку kernel exploits
• Використати searchsploit to search для пошуку kernel exploits
• Цікава інформація в env vars?
• Passwords в PowerShell history?
• Цікава інформація в Internet settings?
• Drives?
• WSUS exploit?
• Third-party agent auto-updaters / IPC abuse
• AlwaysInstallElevated?

Logging/AV enumeration

• Перевірити налаштування Audit та WEF
• Перевірити LAPS
• Перевірити, чи активний WDigest
• LSA Protection?
• Credentials Guard?
• Cached Credentials?
• Перевірити, чи є будь-який AV
• AppLocker Policy?
• UAC
• Admin Protection / UIAccess silent elevation?
• Secure Desktop accessibility registry propagation (RegPwn)?
• User Privileges
• Перевірити current user privileges
• Чи є ви member of any privileged group?
• Перевірити, чи ввімкнено будь-які з цих token: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Перевірити, чи маєте SeManageVolumePrivilege, щоб читати raw volumes і bypass file ACLs
• Users Sessions?
• Перевірити users homes (access?)
• Перевірити Password Policy
• Що inside the Clipboard?

Network

• Перевірити current network information
• Перевірити приховані local services, обмежені доступом ззовні

Running Processes

• Processes binaries file and folders permissions
• Memory Password mining
• Insecure GUI apps
• Викрасти credentials з interesting processes через ProcDump.exe ? (firefox, chrome, etc …)

Services

• Чи можете ви modify any service?
• Чи можете ви modify binary, який executed будь-яким service?
• Чи можете ви modify registry будь-якого service?
• Чи можете ви скористатися будь-яким unquoted service binary path?
• Service Triggers: enumerate and trigger privileged services

Applications

• Write permissions on installed applications
• Startup Applications
• Vulnerable Drivers

DLL Hijacking

• Чи можете ви write in any folder inside PATH?
• Чи є відомий service binary, який tries to load any non-existant DLL?
• Чи можете ви write в будь-яку папку з binaries?

Network

• Перерахувати мережу (shares, interfaces, routes, neighbours, …)
• Особливо зверніть увагу на network services, що слухають на localhost (127.0.0.1)

Windows Credentials

• Winlogon credentials
• credentials з Windows Vault, які можна використати?
• Цікаві DPAPI credentials?
• Passwords з збережених Wifi networks?
• Цікава інформація в saved RDP Connections?
• Passwords у recently run commands?
• Remote Desktop Credentials Manager passwords?
• Чи існує AppCmd.exe? Credentials?
• SCClient.exe? DLL Side Loading?

Files and Registry (Credentials)

• Putty: Creds and SSH host keys
• SSH keys in registry?
• Passwords у unattended files?
• Будь-який backup SAM & SYSTEM?
• Якщо присутній SeManageVolumePrivilege, спробуйте raw-volume reads для SAM, SYSTEM, DPAPI material і MachineKeys
• Cloud credentials?
• Файл McAfee SiteList.xml?
• Cached GPP Password?
• Password у IIS Web config file?
• Цікава інформація в web logs?
• Чи хочете ви ask for credentials у користувача?
• Цікаві files inside the Recycle Bin?
• Інший registry containing credentials?
• Усередині Browser data (dbs, history, bookmarks, …)?
• Generic password search у файлах і registry
• Tools для автоматичного пошуку passwords

Leaked Handlers

• Чи маєте ви доступ до будь-якого handler процесу, запущеного administrator?

Pipe Client Impersonation

• Перевірити, чи можна це abuse

References

• Project Zero - Bypassing Administrator Protection by Abusing UI Access
• MDSec - RIP RegPwn

Tip

Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вчіться та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Перегляньте повний каталог HackTricks Training для assessment tracks (ARTA/GRTA/AzRTA) і Linux Hacking Expert (LHE).

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 Discord group, telegram group, слідкуйте за @hacktricks_live на X/Twitter, або перегляньте сторінку LinkedIn і YouTube channel.
• Діліться hacking tricks, надсилаючи PRs до репозиторіїв github HackTricks і HackTricks Cloud.