Sie haben eine Shell mit niedrigen Rechten auf einem Windows-Host gelandet. Wie weiten Sie Ihre Rechte aus?
Kurzantwort
Enumerieren Sie die Rechte des Kontos und die Fehlkonfigurationen des Hosts: Token-Privilegien wie SeImpersonate, Dienstpfade ohne Anführungszeichen, schwache Dienstberechtigungen, AlwaysInstallElevated und gespeicherte Zugangsdaten. Missbrauchen Sie dann das zuverlässigste — Token-Impersonation (Potato-Angriffe) ist ein gängiger Weg zu SYSTEM.
Unter Windows ist das Ziel meist NT AUTHORITY\SYSTEM, und der Weg führt fast immer über ein Privileg oder eine Dienst-Fehlkonfiguration statt über einen Speicherkorruptions-Exploit. Wie bei Linux kommt die Enumeration zuerst.
Konto und Host enumerieren
- Token-Privilegien:
whoami /priv. Privilegien wie SeImpersonate, SeAssignPrimaryToken, SeBackup oder SeDebug sind getarnte Eskalations-Primitive. Dienstkonten (IIS, MSSQL) besitzen häufig SeImpersonate. - Dienst-Fehlkonfigurationen:
- Dienstpfade ohne Anführungszeichen — ein Dienstpfad wie
C:\Program Files\My App\svc.exeohne Anführungszeichen lässt SieC:\Program.exeablegen, wenn das Verzeichnis beschreibbar ist. - Schwache Dienstberechtigungen — wenn Sie den Binärpfad eines Dienstes neu konfigurieren können (
sc config), führen Sie beim Neustart Code als dessen Konto aus. - Beschreibbare Dienst-Binaries oder DLL-Hijacking-Möglichkeiten.
- Dienstpfade ohne Anführungszeichen — ein Dienstpfad wie
- AlwaysInstallElevated: Sind beide Registry-Schlüssel gesetzt, läuft jede MSI, die Sie installieren, als SYSTEM.
- Gespeicherte Zugangsdaten: unattend.xml, Autologon in der Registry, gespeicherte RDP-/Anmeldeinformationsverwaltungs-Geheimnisse, Skripte.
Werkzeuge wie WinPEAS, PowerUp und Seatbelt automatisieren den Durchlauf.
Das stärkste Primitiv ausnutzen
- SeImpersonate ist der klassische Erfolg bei Dienstkonten. Die Potato-Familie (JuicyPotato, PrintSpoofer, RoguePotato, GodPotato) zwingt einen SYSTEM-Prozess zur Authentifizierung und impersoniert dann dieses Token, um als SYSTEM zu laufen — zuverlässig und leise.
- Ein Pfad ohne Anführungszeichen oder eine beschreibbare Dienstkonfiguration verschafft Ihnen das Dienstkonto, das auf älteren Maschinen oft direkt LocalSystem ist.
- AlwaysInstallElevated ist nur eine schädliche MSI von SYSTEM entfernt.
Warum nicht einfach Speicherkorruptions-Exploits?
Es gibt sie, aber sie sind versionsspezifisch und riskieren den Absturz des Hosts. Der Missbrauch von Konfiguration und Token ist zuverlässiger und verursacht weit seltener einen Ausfall, den Sie erklären müssen.
Worauf Interviewer achten
Eine wiederholbare Methodik, den whoami /priv-Instinkt, die Erkenntnis, dass SeImpersonate plus ein Potato-Angriff ein Standardmittel für SYSTEM ist, und dasselbe Stabilitätsbewusstsein, das Sie Fehlkonfigurationen gegenüber fragilen Exploits bevorzugen lässt.
Wahrscheinliche Anschlussfragen
- Warum ist das SeImpersonatePrivilege für einen Angreifer so wertvoll?
- Wie führt ein Dienstpfad ohne Anführungszeichen zur Codeausführung als Dienstkonto?
- Was ist AlwaysInstallElevated und warum ist es ein solches Geschenk?