Introducción a PowerUp

PowerUp.ps1 es una herramienta de script escrita en PowerShell que forma parte del conjunto de herramientas PowerSploit, una colección de módulos de PowerShell diseñados para ayudar a los pentesters durante las fases de post-explotación y evaluación de seguridad en entornos Windows.

La finalidad de PowerUp.ps1 es automatizar el proceso de evaluación de la configuración de seguridad y buscar posibles vectores de elevación de privilegios en sistemas Windows. Es una herramienta ampliamente utilizada en el ámbito del pentesting y por equipos de red (Red Teams) para identificar debilidades y vulnerabilidades dentro de la configuración de un sistema que podrían ser explotadas para obtener mayores privilegios.

Entre las características y capacidades de PowerUp.ps1, se incluyen:

• Enumeración de servicios con rutas no citadas: Identifica servicios donde la ruta del ejecutable no está entre comillas y contiene espacios, lo que podría permitir la inserción de ejecutables maliciosos en la ruta.

• Permisos de ejecutables de servicios: Comprueba si el usuario actual tiene permisos para modificar archivos de servicios de Windows que luego podrían ser ejecutados con privilegios elevados.

• Permisos de servicio: Evalúa si el usuario actual tiene la capacidad de modificar servicios de Windows o su configuración.

• Búsqueda en la variable de entorno %PATH%: Busca ubicaciones en la variable de entorno %PATH% que podrían ser usadas para la inyección de DLLs maliciosas.

• Clave de registro AlwaysInstallElevated: Comprueba si esta clave de registro está configurada para permitir la instalación de programas con privilegios elevados.

• Credenciales de autologon: Busca credenciales almacenadas en el registro que permiten el inicio de sesión automático.

• Configuraciones de Autorun y archivos modificables: Identifica configuraciones de autorun y archivos del sistema que son modificables y podrían ser abusados para ejecutar código al reiniciar el sistema o al iniciar sesión.

• Tareas programadas: Revisa los archivos y configuraciones de tareas programadas que podrían ser modificadas para obtener ejecución de código con privilegios.

• Archivos de instalación desatendidos: Busca archivos de instalación desatendida que pueden contener credenciales en texto plano.

• Cadenas cifradas en archivos web.config: Identifica cadenas de configuración cifradas que podrían incluir información sensible.

• Contraseñas de pools de aplicaciones y directorios virtuales: Busca contraseñas cifradas asociadas con pools de aplicaciones y directorios virtuales en IIS que podrían ser descifradas.

• Contraseñas en texto plano en archivos SiteList.xml de McAfee: Busca archivos de configuración de McAfee que pueden contener contraseñas en texto plano.

• Preferencias de Política de Grupo en caché: Revisa si hay archivos .xml de Política de Grupo que contienen contraseñas o configuraciones que podrían ser explotadas.

PS C:\Users\admin\Desktop> Import-Module .\PowerUp.ps1
PS C:\Users\admin\Desktop> Invoke-AllChecks

[*] Running Invoke-AllChecks


[*] Checking if user is in a local group with administrative privileges...
[+] User is in a local group that grants administrative privileges!
[+] Run a BypassUAC attack to elevate privileges to admin.


[*] Checking for unquoted service paths...

[*] Checking service executable and argument permissions...

[*] Checking service permissions...

[*] Checking %PATH% for potentially hijackable .dll locations...

HijackablePath : C:\Users\admin\AppData\Local\Microsoft\WindowsApps\
AbuseFunction  : Write-HijackDll -OutputFile 'C:\Users\admin\AppData\Local\Microsoft\WindowsApps\\wlbsctrl.dll'
                 -Command '...'

[*] Checking for AlwaysInstallElevated registry key...

[*] Checking for Autologon credentials in registry...

[*] Checking for vulnerable registry autoruns and configs...

[*] Checking for vulnerable schtask files/configs...

[*] Checking for unattended install files...

[*] Checking for encrypted web.config strings...

[*] Checking for encrypted application pool and virtual directory passwords...

Validaciones realizadas por PowerUp:

• Current privileges

• Unquoted service paths

• Service executable permissions

• Service permissions

• %PATH% for hijackable DLL locations

• AlwaysInstallElevated registry key

• Autologon credentials in registry

• Modifidable registry autoruns and configs

• Modifiable schtask files/configs

• Unattended install files

• Encrypted web.config strings

• Encrypted application pool and virtual directory passwords

• Plaintext passwords in McAfee SiteList.xml

• Cached Group Policy Preferences .xml files