Demostración en vídeo del post
Existen varias utilidades y herramientas que ayudan en los procesos de post-explotación en sistemas Windows, la mayoría de ellas permiten detectar malas configuraciones o vulnerabilidades para la elevación de privilegios, otras parten de la base que ya se ha llevado a cabo el proceso de elevación y ahora se pretende ejecutar diferentes tipos de ataques como es el caso de Mimikatz, GhostPack o muchos de los módulos disponibles en Empire Framework, sin embargo hay una herramienta muy potente que si bien se ha mencionado anteriormente en este blog, merece un post dedicado. Se trata de WinPEAS. Es una herramienta que permite detectar vulnerabilidades típicas en sistemas Windows que pueden conducir a la elevación de privilegios y aunque en este post se hablará de esta utilidad, en el repositorio de Carlos Polop hay utilidades que siguen esta misma dinámica para sistemas basados en Linux y MacOS.
USO DE WINPEAS
En primer lugar, se debe obtener el binario correspondiente o bien compilando el proyecto o utilizando el que ya se encuentra disponible en el repositorio, concretamente en este enlace. La forma recomendada de trabajar es descargando la solución .NET del proyecto y compilarla luego con el Visual Studio .NET, así se tendrá la última versión disponible con todos los cambios y mejoras que se hayan subido al repositorio, además, tal como se indica en la documentación, de esta forma también se puede instalar y ejecutar la herramienta DotFuscator que se integra en Visual Studio .NET y permite comprimir un poco más el binario y alterar sus instrucciones. Aunque el objetivo de DotFuscator es el de ocultar el código para que sea más difícil de decompilar y acceder al código fuente del programa, un efecto lateral de esto es que precisamente ayuda un poco en la evasión de sistemas de AV que pueden estar instalados en el sistema comprometido. Es una utilidad que simplemente recibe el ejecutable que se quiere «ofuscar» y realiza el proceso. Para instalar este complemento hay que escribir en la barra de búsqueda de componentes (CTR+Q) «dotfuscator» y seguir el asistente que se enseña. El proceso puede tardar varios minutos pero es muy sencillo.
Una vez instalada la aplicación se puede abrir dirigiéndose a «Herramientas -> PreEmptive Protection – Dotfuscator Community». Y ahora, basta simplemente con seleccionar el binario de WinPEAS, ya sea que se haya compilado desde la solución .NET o se utilice la versión precompilada disponible en el repositorio.
Una vez se tiene el binario es necesario ejecutarlo en el sistema comprometido y para ello, o bien se puede subir a dicho sistema o aplicar alguna técnica del tipo fileless. Independientemente de la técnica utilizada, cuando se ejecuta la herramienta lo primero por lo que destaca es por su orden y limpieza. Se puede ver que tiene un esquema de colores que permite ver rápidamente información útil desde la perspectiva de un atacante o del administrador, así aunque se produzcan cientos de trazas será distinguir aquellas que pueden resultar más interesantes.
Cuando se ejecuta la herramienta sin ningún argumento se aplican todas las pruebas disponibles, lo que significa que el proceso puede tardar varios minutos en completarse. La herramienta cuenta con varias opciones que se indican desde la terminal y que permiten obtener información muy concreta sobre procesos, servicios, aplicaciones instaladas, componentes de red, entorno del sistema entre otras cosas. Para ver la lista de opciones completa se puede consultar el siguiente enlace o ejecutar la herramienta con el parámetro «help»
Simplemente leyendo los parámetros es fácil entender para qué sirven, además se pueden ejecutar varios al mismo tiempo, de esta manera se puede consultar información de elementos concretos del sistema. Si se pretende guardar toda la información que aporta la herramienta en un fichero de log, tal como se puede ver en el listado de opciones es posible indicar «log=<fichero>» para que toda la información quede guardada en un fichero y no aparezca en la terminal.
Por otro lado, hay dos opciones que resultan especialmente interesantes, la primera es «quiet» que deshabilita el banner que aparece cuando se ejecuta la herramienta y el segundo es «wait», el cual permite ir analizando los resultados aportados por la herramienta paso a paso, es decir, cuando la herramienta termina de ejecutar las pruebas para una categoría concreta, espera a que el usuario indique que quiere continuar con las siguientes pruebas.
Como se puede ver es una herramienta que está bien hecha y que facilita los procesos de post-explotación, especialmente en aquellos en los cuales la cantidad de información obtenida por parte de otras herramientas o manualmente es difícil de manejar y es como «buscar una aguja en un pajar». Precisamente, por ese motivo utilizar WinPEAS es una de las mejores formas de ver qué técnicas se pueden aplicar o qué vulnerabilidades se pueden explotar para elevar privilegios en sistemas Windows.
Un saludo y Happy Hack!
Adastra.
Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW) 