Cheat-sheet
Introduction
Cette page décrit plusieurs techniques pour faire de l'escalade de privilège sur un système Windows pour passe d'un utilisateur A à un utilisateur B.
Techniques
Mots de passe WDS
Parfois, les administrateurs laissent des identifiants en clair dans les fichiers de configuration de WDS qui est utilisé pour déployer une instance Windows sans interraction de la part de l'utilisateur.
Voici la liste des fichiers à consulter qui pourraient contenir des mots de passe :
- C:\Unattend.xml
- C:\Windows\Panther\Unattend.xml
- C:\Windows\Panther\Unattend\Unattend.xml
- C:\Windows\system32\sysprep.inf
- C:\Windows\system32\sysprep\sysprep.xml
Afficher l'historique de commande powershell
type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtAfficher les identifiants enregistrés
cmdkey /listLancer une commande "en tant que"
runas /savecred /user:admin cmd.exeIci, le cmd.exe sera lancé en tant qu'utilisateur admin .
Connexions IIS
La commande suivante va énumérer les connexions à la base de donnée IIS et peut parfois vous révéler des mots de passe :
type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionStringIdentifiants PuTTY
Il est possible de récupérer les identifiants enregistrés dans PuTTY en interrogeant une clé de registre :
reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\ /f "Proxy" /sSimon Tatham est le créateur du logiciel Putty et ne doit donc pas être remplacé par le nom de l'utilisateur.