Escalada de Privilegis
Local (PrivEsc)
Proces d'explotació per assolir el nivell NT AUTHORITY\SYSTEM
SECCIÓ 1: Escalada de Privilegis Local (PrivEsc)
Un cop s'ha aconseguit traspassar el perímetre (foothold) mitjançant phishing o vulnerabilitats web, l'atacant sol tenir una sessió d'usuari ras. L'escalada de privilegis és el procés d'explotar errors de configuració per assolir el nivell d'accés màxim: NT AUTHORITY\SYSTEM.
🔑 El concepte d'Escalada Local
L'objectiu no és "hackejar" el sistema de nou, sinó abusar de la confiança del sistema operatiu en els seus propis serveis i configuracions mal gestionades pels administradors.
1.1 El Punt de Partida: Foothold i getuid
Abans de qualsevol acció, cal validar el context actual:
Sessió inicial
Obtinguda normalment via Meterpreter o shells reversas simples.
Comprovació
L'execució de getuid o whoami ens dirà si som un usuari sense
privilegis (com treballador) o si ja som el "déu" de la màquina
(SYSTEM).
Restricció: Un usuari ras no pot llegir fitxers d'altres usuaris, no pot aturar l'antivirus ni modificar el registre de màquina (HKLM).
1.2 Metodologies d'Auditoria Local (Enumeració)
L'èxit de l'escalada depèn d'una bona anàlisi prèvia. Tenim dues vies:
A. Enumeració Automatitzada (Eines PEASS)
Buscar errors a mà és lent i propici a l'error humà.
WinPEAS: L'eina definitiva que pinta en vermell (vulnerabilitat gairebé segura) o groc (potencial) els vectors d'atac.
Procediment: Es puja l'executable a C:\Users\Public, s'executa i es
redirigeix la sortida a un fitxer de text (winpeas.exe > output.txt) per a la
seva anàlisi offline.
B. Enumeració Manual
Ús de comandes natives com wmic o sc per revisar serveis sospitosos
o el cmdlet de PowerShell Get-Acl per verificar permisos de fitxers.
1.3 Vectors d'Explotació Principals (Pràctica "Olympus")
Vector 1: Ruta de Servei sense cometes (Unquoted Service Path)
Aprofitar com Windows interpreta els espais en les rutes dels binaris.
La vulnerabilitat: Si un servei té la ruta
C:\Program Files\Servei Alumne\run.exe (sense cometes), Windows intentarà
executar:
- 1. C:\Program.exe
- 2. C:\Program Files\Servei.exe
- 3. C:\Program Files\Servei Alumne\run.exe (La ruta real)
L'atac: L'atacant crea un implant maliciós amb msfvenom,
l'anomena Program.exe i el col·loca a l'arrel C:\. Al següent
reinici, el sistema l'executarà amb privilegis de SYSTEM.
Vector 2: Serveis amb permisos dèbils (binPath)
La vulnerabilitat: Quan un usuari normal té permisos
SERVICE_CHANGE_CONFIG sobre un servei que corre com a administrador.
L'atac: Canviem la ruta de l'executable legítim per la del nostre implant:
sc config [NOM_SERVEI] binPath= "C:\Users\Public\implant.exe"
Execució: En reiniciar el servei
(sc stop / sc start), l'implant ens retornarà una shell reversa
amb privilegis elevats.
Vector 3: Always Install Elevated
Directiva que permet instal·lar fitxers .msi amb poders de sistema. Es valida
mirant si les claus de registre AlwaysInstallElevated a HKLM i
HKCU estan a 1.
⚖️ Comparativa de Privilegis en Windows
| Nivell | Usuari | Capacitat |
|---|---|---|
| Baix | treballador / vagrant | Només pot tocar els seus fitxers personals. |
| Mitjà | Administrador Local | Té poder total però està limitat per l'UAC (cal bypass). |
| Màxim | SYSTEM | El sistema mateix. Control absolut sobre el Kernel i la memòria LSASS. |
Info Callout: DevSecOps i Hardening
L'escalada de privilegis es pot prevenir mitjançant el Hardening
(enduriment) del sistema: aplicar el principi de "mínim privilegi", tancar rutes de serveis
entre cometes i monitorar l'ús de l'eina sc.exe.
🗂️ Resum de la Secció 1
Passar d'usuari ras a SYSTEM.
Enumeració → Identificació del vector → Implant (msfvenom) → Execució.
WinPEAS, Metasploit, msfvenom, accesschk.