Checklist - Local Windows Privilege Escalation

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

查找Windows本地权限提升向量的最佳工具： WinPEAS

系统信息

• 获取系统信息

• 使用脚本搜索内核漏洞

• 使用Google搜索内核漏洞

• 使用searchsploit搜索内核漏洞

• 环境变量中有趣的信息？

• PowerShell历史记录中的密码？

• Internet设置中有趣的信息？

• 驱动器？

• WSUS漏洞？

• AlwaysInstallElevated？

日志/AV枚举

• 检查审计和WEF设置

• 检查LAPS

• 检查是否激活了WDigest

• LSA保护？

• 凭据保护?

• 缓存凭据？

• 检查是否有任何AV

• AppLocker策略？

• UAC

• 用户权限

• 检查当前用户权限

• 您是否是任何特权组的成员？

• 检查是否启用了以下任何令牌](windows-local-privilege-escalation/#token-manipulation)：SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?

• 用户会话？

• 检查用户主目录（访问？）

• 检查密码策略

• 剪贴板中有什么？

网络

• 检查当前网络 信息

• 检查隐藏的本地服务是否受限于外部

运行进程

• 进程二进制文件和文件夹权限文件和文件夹权限

• 内存密码挖掘

• 不安全的GUI应用程序

• 通过ProcDump.exe窃取有趣进程的凭据？（firefox，chrome等...）

服务

• 您能否修改任何服务？

• 您能否修改任何服务执行的二进制文件？

• 您能否修改任何服务的注册表？

• 您能否利用任何未加引号的服务二进制路径？](windows-local-privilege-escalation/#unquoted-service-paths)

应用程序

• 写入已安装应用程序的权限

• 启动应用程序

• 易受攻击的驱动程序

DLL劫持

• 你可以在PATH中的任何文件夹中写入吗？

• 是否有任何已知的服务二进制文件尝试加载任何不存在的DLL？

• 你可以写入任何二进制文件夹吗？

网络

• 枚举网络（共享、接口、路由、邻居，...）

• 特别关注监听在本地主机（127.0.0.1）上的网络服务

Windows凭证

• Winlogon凭证

• 你可以使用的Windows Vault凭证？

• 有趣的DPAPI凭证？

• 已保存的Wifi网络密码？

• 已保存的RDP连接中的有趣信息？

• 最近运行的命令中的密码？

• 远程桌面凭证管理器密码？

• AppCmd.exe是否存在？凭证？

• SCClient.exe？DLL侧加载？

文件和注册表（凭证）

• Putty: 凭证 和 SSH主机密钥

• 注册表中的SSH密钥？

• 无人值守文件中的密码？

• 任何SAM和SYSTEM备份？

• 云凭证？

• McAfee SiteList.xml文件？

• 缓存的GPP密码？

• IIS Web配置文件中的密码？

• Web日志中的有趣信息？

• 你想要向用户请求凭证吗？

• 回收站中的有凭证的文件？

• 其他包含凭证的注册表？

• 浏览器数据中（数据库、历史记录、书签，...）的通用密码搜索？

• 在文件和注册表中进行通用密码搜索？

• 自动搜索密码的工具？

泄漏的处理程序

• 你可以访问任何由管理员运行的进程的处理程序吗？

管道客户端冒充

• 检查是否可以滥用它

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord