HackTricks
Checklist - 本地 Windows Privilege Escalation
Tip
学习并实践 AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
学习并实践 GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
学习并实践 Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅方案!
- 加入 💬 Discord 群组、telegram 群组,关注 X/Twitter 上的 @hacktricks_live,或查看 LinkedIn 页面 和 YouTube 频道。
- 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR,分享 hacking 技巧。
查找 Windows 本地 privilege escalation 向量的最佳工具: WinPEAS
System Info
- 获取 System information
- 使用脚本搜索 kernel exploits
- 使用 Google 搜索 kernel exploits
- 使用 searchsploit 搜索 kernel exploits
- env vars 中是否有有趣信息?(windows-local-privilege-escalation/index.html#environment)?
- PowerShell history 中是否有密码?
- Internet settings 中是否有有趣信息?
- Drives?
- WSUS exploit?
- Third-party agent auto-updaters / IPC abuse
- AlwaysInstallElevated?
Logging/AV enumeration
- 检查 Audit 和 WEF 设置
- 检查 LAPS
- 检查 WDigest 是否已启用
- LSA Protection?
- Credentials Guard?
- Cached Credentials?
- 检查是否有任何 AV
- AppLocker Policy?
- UAC
- Admin Protection / UIAccess silent elevation?
- Secure Desktop accessibility registry propagation (RegPwn)?
- User Privileges
- 检查当前用户的 privileges
- 你是否属于任何 privileged group?
- 检查你是否启用了这些 token 中的任何一个:SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
- 检查你是否有 SeManageVolumePrivilege 以读取 raw volumes 并绕过 file ACLs
- Users Sessions?
- 检查 users homes(可访问性?)
- 检查 Password Policy
- Clipboard 里有什么?
Network
- 检查当前 network information
- 检查对外部受限的隐藏本地服务
Running Processes
- Processes binaries 的 file and folders permissions
- Memory Password mining
- Insecure GUI apps
- 通过
ProcDump.exe从 interesting processes 中窃取凭据?(firefox, chrome, etc …)
Services
- 能否 modify any service?](windows-local-privilege-escalation/index.html#permissions)
- 能否 modify 任意 service 执行的 binary?](windows-local-privilege-escalation/index.html#modify-service-binary-path)
- 能否 modify 任意 service 的 registry?](windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
- 能否利用任何 unquoted service binary path?](windows-local-privilege-escalation/index.html#unquoted-service-paths)
- Service Triggers: enumerate and trigger privileged services
Applications
- 已安装应用程序上的 Write permissions
- Startup Applications
- 存在 Vulnerable Drivers
DLL Hijacking
- 你能在 PATH 内的任何文件夹中 write 吗?
- 是否有已知的 service binary 会尝试加载任何不存在的 DLL?
- 你能在任何 binaries 文件夹中 write 吗?
Network
- 枚举网络(shares, interfaces, routes, neighbours, …)
- 特别关注在 localhost (127.0.0.1) 上监听的网络服务
Windows Credentials
- Winlogon 凭据
- 你可以使用的 Windows Vault 凭据?
- 有趣的 DPAPI credentials?
- 已保存 Wifi networks 的密码?
- saved RDP Connections 中是否有有趣信息?
- recently run commands 中的密码?
- Remote Desktop Credentials Manager 的密码?
- AppCmd.exe 是否存在?凭据?
- SCClient.exe? DLL Side Loading?
Files and Registry (Credentials)
- Putty: Creds and SSH host keys
- SSH keys in registry?
- unattended files 中有密码?
- 是否有任何 SAM & SYSTEM 备份?
- 如果存在 SeManageVolumePrivilege,尝试 raw-volume 读取
SAM、SYSTEM、DPAPI material 和MachineKeys - Cloud credentials?
- McAfee SiteList.xml 文件?
- Cached GPP Password?
- IIS Web config file 中的密码?
- web logs 中是否有有趣信息?
- 你想向用户 ask for credentials 吗?
- Recycle Bin 中是否有有趣文件?
- 其他包含凭据的 registry?
- 在 Browser data 里(dbs, history, bookmarks, …)?
- 在文件和 registry 中进行 Generic password search
- 用于自动搜索密码的 Tools
Leaked Handlers
- 你是否能访问由 administrator 运行的进程的任何 handler?
Pipe Client Impersonation
- 检查你是否可以滥用它
References
Tip
学习并实践 AWS Hacking:
学习并实践 GCP Hacking:
学习并实践 Az Hacking:支持 HackTricks
- 查看 订阅方案!
- 加入 💬 Discord 群组、telegram 群组,关注 X/Twitter 上的 @hacktricks_live,或查看 LinkedIn 页面 和 YouTube 频道。
- 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR,分享 hacking 技巧。