root@hacklab:~$
[]
ONLINE

Windows - Fase 2: Exploração

Objetivo

Validar privilege escalation local em Windows com PoC mínima, priorizando vetores reproduzíveis de ACL, serviço, task, privilégio do token, credencial local e política fraca antes de qualquer técnica ruidosa.

Checklist de Exploração

  1. Confirmar pré-condições técnicas do vetor com comando nativo sempre que possível.
  2. Priorizar escrita em binário/path executado por serviço ou task, depois privilégios abusáveis e credenciais locais.
  3. Evitar alteração persistente sem necessidade: provar impacto com artefato controlado e reversível.
  4. Comprovar antes/depois: usuário, grupo, privilégio efetivo e execução administrativa.
  5. Registrar exatamente qual controle falhou e como o time defensivo deve detectar.

Comandos Operacionais (Local)

terminal
whoami /priv
whoami /groups

# Serviços e permissões fracas
sc qc <servico>
sc query <servico>
wmic service get Name,StartName,State,PathName
accesschk64.exe -uwcqv "Authenticated Users" *
accesschk64.exe -uwcqv "Users" *

# Tasks e paths abusáveis
schtasks /query /fo LIST /v
icacls "C:\Path\to\target"

# Políticas e instalações elevadas
reg query HKCU\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

# Prova mínima de contexto
whoami

Matriz de Vetores Prioritários

VetorPré-condiçãoEvidênciaDefesa
Serviço gravávelUsuário escreve no binário, path ou config executado como conta privilegiada.`sc qc`, `icacls`, conta `StartName` e execução controlada.ACL mínima, monitorar alteração de serviço e binário.
Scheduled taskTask roda com privilégio maior e referencia arquivo gravável.`schtasks /query /v`, `icacls`, histórico da task.Revisar owners, paths e eventos de criação/alteração.
Privilégio do token`SeImpersonatePrivilege`, `SeBackupPrivilege` ou `SeDebugPrivilege` habilitado em contexto abusável.`whoami /priv` antes/depois e ação administrativa mínima.Reduzir direitos de serviço e auditar uso de privilégios sensíveis.
Credencial localSenha, token, chave ou conexão salva em arquivo, registry, IIS, script ou histórico.Caminho, permissão e prova parcial mascarada do segredo.Secret management, rotação e revisão de ACL.

Bypass Comuns e Validação

terminal
# Contexto UAC/políticas
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

# Sessões, tokens e tickets
query user
qwinsta
klist
whoami /all

# Credenciais e material de autenticação (somente em escopo autorizado)
cmdkey /list
dir /s /b *web.config* *appsettings* *unattend* 2>nul
findstr /si "password pwd token secret key connectionString" *.config *.xml *.ini *.txt 2>nul
  • UAC bypass só deve ser tratado como achado quando houver usuário local privilegiado e controle indevido mensurável.
  • Credencial achada não é impacto sozinha: validar permissão real no ativo em escopo, preferencialmente sem revelar segredo completo.
  • Token ou privilégio abusável exige prova de ação administrativa, não apenas presença do privilégio.

Mapeamento ATT&CK

Validação e Evidência

  • Comparar contexto antes/depois: usuário, grupos, privilégios, integridade e processo executado.
  • Associar vetor à configuração exata vulnerável: ACL, path, serviço, task, política ou segredo.
  • Medir impacto: execução administrativa, leitura sensível, alteração de configuração ou caminho lateral.
  • Guardar comando de reteste que comprove que o vetor não é mais reproduzível após correção.

Mitigação e Detecção

  • Aplicar ACL mínima em `Program Files`, paths de serviço, scripts, tasks e diretórios de deploy.
  • Usar Windows LAPS para senha de administrador local e impedir reutilização lateral.
  • Habilitar PowerShell Script Block Logging, Sysmon e auditoria de alteração de serviço/task.
  • Aplicar AppLocker ou WDAC em hosts críticos e revisar exceções de execução.
  • Alertar criação de serviço, alteração de binário, task nova, processo filho incomum e uso de privilégio sensível.

Referências Práticas

Referências de Base