PrivKit
PrivKitはオープンソースツールで、レッドチーマーと侵入テスターがCobalt Strike Beacon Object Files(BOF)を使用してWindows ローカル権限昇格ベクトルの一般的な脆弱性を迅速に特定できるようにします。
機能
PrivKitは包括的な権限昇格チェック機能スイートを提供します:
| チェック | 説明 |
|---|---|
| AlwaysInstallElevatedCheck | HKCUおよびHKLMのAlwaysInstallElevatedの誤設定をチェック |
| AutologonCheck | Winlogonレジストリに保存されたAutologonの認証情報を列挙 |
| CredentialManagerCheck | Windows Credential Managerから認証情報をダンプ |
| HijackablePathCheck | システムPATH内の書き込み可能なディレクトリを識別 |
| ModifiableAutorunCheck | Run/RunOnceキーの書き込み可能な自動実行実行ファイルを検出 |
| ModifiableSVCCheck | 変更可能なアクセス許可(DACL)を持つサービスを検出 |
| TokenPrivilegesCheck | 現在のプロセストークンの特権を列挙 |
| UnquotedSVCPathCheck | スペースを含む引用符なしのサービスパスを検出 |
| PowerShellHistoryCheck | PowerShell PSReadLineの履歴ファイルをチェック |
| UACStatusCheck | UAC ステータス、整合性レベル、および管理者グループのメンバーシップをチェック |
なぜBOFなのか?
- メモリ内実行 – ディスクにファイルをドロップしない
- 軽量 – ビーコンフットプリントを最小化
- 高速 – ネイティブ実行速度
- ステルス – ビーコンのプロセスコンテキスト内で実行
- クロスアーキテクチャ – x64とx86の両方をサポート
PrivKitはCで書かれており、Beacon Object Filesとしてコンパイルされているため、Windows対象のCobalt Strike 4.xと互換性があります。
ダウンロード
git clone https://github.com/mertdas/PrivKit.git
cd PrivKit
./make_all.sh使用方法
すべてのチェックを実行
すべての権限昇格チェックを一度に実行します:
個別チェックを実行
必要に応じて特定のチェックを実行します:
beacon> AlwaysInstallElevatedCheck
beacon> AutologonCheck
beacon> CredentialManagerCheck
beacon> HijackablePathCheck
beacon> ModifiableAutorunCheck
beacon> ModifiableSVCCheck
beacon> TokenPrivilegesCheck
beacon> UnquotedSVCPathCheck
beacon> PowerShellHistoryCheck
beacon> UACStatusCheck著作権(C)2023 mertdas
ソース: meterpreter.org
