Wie gehst du die Rechteausweitung auf einem Windows-Ziel an?
Kurzantwort
Enumeriere die aktuellen Privilegien (whoami /priv), fehlkonfigurierte Dienste (schwache Berechtigungen, ungequotete Dienstpfade), AlwaysInstallElevated, geplante Aufgaben, gespeicherte Anmeldedaten und fehlende Patches. WinPEAS oder PowerUp automatisieren den Durchlauf; Token-Privilegien-Missbrauch wie SeImpersonate ist ein häufiger, wertvoller Treffer.
Windows-Rechteausweitung beim OSCP dreht sich, wie bei Linux, meist um Fehlkonfiguration. Die Herausforderung ist, dass Windows viel mehr Stellen bietet, an denen ein Administrator etwas falsch machen kann, daher ist strukturierte Enumerierung unerlässlich.
Wertvolle Prüfungen
- Token-Privilegien —
whoami /priv. Dienstkonten halten oftSeImpersonatePrivilege, das „Potato“-Angriffe missbrauchen, um SYSTEM zu imitieren. Das ist einer der häufigsten Prüfungstreffer. - Dienst-Fehlkonfigurationen — Dienste, deren Binary du überschreiben, deren Registry-Schlüssel du bearbeiten kannst oder die schwache Berechtigungen haben, erlauben dir, die ausführbare Datei zu tauschen und für SYSTEM neu zu starten.
- Ungequotete Dienstpfade — ein Dienstpfad wie
C:\Program Files\My App\svc.exeohne Anführungszeichen lässt dichC:\Program.exeplatzieren, wenn das Verzeichnis beschreibbar ist. - AlwaysInstallElevated — wenn beide Registry-Schlüssel gesetzt sind, installiert sich jede von dir erstellte MSI als SYSTEM.
- Gespeicherte Anmeldedaten — Unattend.xml, Registry-Autologon, gespeicherte RDP-/WiFi-Anmeldedaten und der PowerShell-Verlauf geben regelmäßig Passwörter preis.
- Patch-Stand — fehlende KBs entsprechen Kernel-Exploits, aber wie bei Linux sind diese eine Ausweichlösung.
Den Durchlauf automatisieren
WinPEAS, PowerUp (PowerSploit) und SharpUp enumerieren all dies schnell und markieren die vielversprechenden. Wie immer findet die Automatisierung die Kandidaten; du verifizierst und nutzt sie von Hand aus.
Warum Token-Missbrauch heraussticht
Viele reale Maschinen geben dir eine Webdienst-Shell, die unter einem Dienstkonto mit niedrigen Rechten läuft, das dennoch SeImpersonate hält. Dieses eine Privileg zu erkennen verwandelt eine Sackgassen-Shell schneller in SYSTEM als jeder andere Weg.
Worauf Interviewer achten
Eine konkrete Liste — Token-Privilegien, Dienst- und Pfad-Fehlkonfigurationen, AlwaysInstallElevated, gespeicherte Anmeldedaten — und das Bewusstsein, dass WinPEAS/PowerUp die Entdeckung automatisieren, während SeImpersonate eine bevorzugte Eskalation ist. Nur „Kernel-Exploits“ zu nennen verfehlt, wie die meisten Windows-Maschinen tatsächlich fallen.
Wahrscheinliche Anschlussfragen
- Wie würdest du einen Dienst mit einem beschreibbaren Binary-Pfad ausnutzen?
- Was erlaubt das SeImpersonatePrivilege einem Angreifer zu tun?