liminfo

Windows Privilege Escalation

Windows 권한 상승 기법 레퍼런스

26개 결과

Windows Privilege Escalation 소개

Windows 권한 상승 레퍼런스는 저권한 사용자에서 SYSTEM 또는 관리자 권한으로 권한을 상승시키는 포스트 익스플로잇 기법을 분류별로 정리한 치트시트입니다. 토큰 조작(JuicyPotato, PrintSpoofer, GodPotato를 이용한 SeImpersonatePrivilege 악용), 서비스 설정 오류(인용부호 없는 경로, 약한 권한, 바이너리 교체), 레지스트리 기반 공격(AlwaysInstallElevated, 자동실행, 저장된 자격증명), DLL 하이재킹(검색 순서 악용, 팬텀 DLL, DLL 프록시), UAC 우회(fodhelper, eventvwr, sdclt), 자격증명 수집(cmdkey, Mimikatz, SAM 덤프, WiFi 비밀번호) 6개 카테고리를 다룹니다.

각 항목에는 취약점 확인 및 악용에 필요한 정확한 명령줄 구문 또는 PowerShell 원라이너가 포함되어 있으며, 사용 도구(JuicyPotato, PrintSpoofer, GodPotato, Mimikatz, accesschk, procmon, impacket-secretsdump)와 구체적인 플래그를 제공합니다. OSCP/CRTO/eCPPT 자격증을 준비하는 보안 학생, 모의침투 테스터, 레드팀 운영자, CTF 참가자가 실전에서 빠르게 참조할 수 있도록 설계되었습니다.

검색·필터가 가능한 RefTool 형태로 bash 구문 강조와 한국어/영어 이중 언어를 지원합니다. 서버 처리 없이 브라우저에서 모든 정보를 제공하며, 인가된 보안 테스트 및 교육 목적으로만 사용해야 합니다.

주요 기능

  • 토큰 악용 기법: JuicyPotato, PrintSpoofer, GodPotato, 토큰 복제를 통한 SYSTEM 접근
  • 서비스 설정 오류 공격: 인용부호 없는 서비스 경로, 약한 서비스 권한(accesschk), 바이너리 교체
  • 레지스트리 기반 권한 상승: AlwaysInstallElevated MSI 악용, 자동실행 하이재킹, 저장된 자격증명 검색
  • DLL 하이재킹: DLL 검색 순서 악용, 팬텀 DLL 로드, 함수 포워딩을 이용한 DLL 프록시
  • 자동 상승 바이너리를 이용한 UAC 우회: fodhelper.exe, eventvwr.exe, sdclt.exe 레지스트리 키 조작
  • 자격증명 수집: cmdkey, Mimikatz sekurlsa::logonpasswords, impacket을 이용한 SAM/SYSTEM 덤프
  • WiFi 비밀번호 추출 및 사용자 디렉터리 파일 기반 자격증명 검색
  • 검색·필터 가능, bash/PowerShell 구문 강조, 한국어/영어 이중 언어 지원 인터페이스

자주 묻는 질문

SeImpersonatePrivilege란 무엇이며 왜 중요한가요?

SeImpersonatePrivilege는 프로세스가 다른 사용자의 보안 컨텍스트를 가장할 수 있는 Windows 권한입니다. IIS, MSSQL 등 서비스 계정에 흔히 활성화되어 있으며, 공격자는 Potato 계열 익스플로잇(JuicyPotato, PrintSpoofer, GodPotato)으로 SYSTEM 토큰을 가장하여 완전한 관리자 제어권을 획득할 수 있습니다. whoami /priv로 확인합니다.

인용부호 없는 서비스 경로 공격은 어떻게 작동하나요?

Windows 서비스 실행 파일 경로에 공백이 포함되어 있으면서 따옴표로 감싸지 않은 경우(예: C:\Program Files\My App\service.exe), Windows는 C:\Program.exe, C:\Program Files\My.exe 등 중간 경로를 순서대로 시도합니다. 공격자가 이러한 중간 경로에 악성 실행 파일을 배치하면 서비스 시작/재시작 시 코드가 실행됩니다.

DLL 하이재킹이란 무엇이고 어떻게 탐지하나요?

DLL 하이재킹은 Windows DLL 검색 순서를 악용합니다. 애플리케이션이 DLL을 로드할 때 Windows는 특정 순서(애플리케이션 디렉토리, System32 등)로 검색합니다. Process Monitor(procmon)에서 .dll 파일에 대한 "NAME NOT FOUND" 결과를 필터링하면 누락된 DLL을 확인할 수 있고, 쓰기 가능한 검색 경로에 해당 이름의 악성 DLL을 배치하면 애플리케이션이 이를 로드합니다.

fodhelper.exe UAC 우회는 어떻게 작동하나요?

fodhelper.exe는 UAC 프롬프트 없이 자동 상승하는 Windows 바이너리입니다. HKCU 레지스트리의 Software\Classes\ms-settings\Shell\Open\command에서 명령 핸들러를 읽습니다. 이 레지스트리 값을 cmd.exe(또는 페이로드)로 설정하고 DelegateExecute 값을 추가한 뒤 fodhelper.exe를 실행하면 UAC 동의 대화 상자를 우회하여 상승된 권한으로 페이로드가 실행됩니다.

AlwaysInstallElevated란 무엇이고 어떻게 악용하나요?

HKLM과 HKCU 레지스트리 모두에서 활성화된 경우, 모든 사용자가 SYSTEM 권한으로 MSI 패키지를 설치할 수 있게 하는 그룹 정책 설정입니다. 공격자는 msfvenom -f msi로 악성 MSI 페이로드를 생성하고, msiexec /quiet /i evil.msi로 무인 설치하여 SYSTEM 수준 코드 실행을 얻습니다.

Mimikatz로 자격증명을 어떻게 추출하나요?

Mimikatz에서 privilege::debug로 디버그 권한을 활성화한 후, sekurlsa::logonpasswords로 LSASS 메모리에서 평문 비밀번호와 NTLM 해시를 추출합니다. lsadump::sam은 SAM 데이터베이스 추출, vault::cred는 Windows 자격 증명 볼트 항목을 제공합니다. 로컬 관리자 권한 또는 SeDebugPrivilege가 필요합니다.

SAM 데이터베이스를 덤프하고 크랙하려면?

reg save HKLM\SAM과 reg save HKLM\SYSTEM으로 레지스트리 하이브를 내보내고(관리자 권한 필요), 공격 머신에서 impacket-secretsdump -sam SAM -system SYSTEM LOCAL로 NTLM 해시를 추출합니다. SYSTEM 하이브는 SAM 데이터베이스를 복호화하는 데 필요한 부트키를 제공합니다.

이 레퍼런스는 인가된 테스트 전용인가요?

네. 이 레퍼런스에 기재된 모든 기법은 인가된 모의침투 테스트, 레드팀 연습, CTF 대회, 보안 교육 목적으로만 사용해야 합니다. 소유권이 없거나 서면 허가를 받지 않은 시스템에 대해 이러한 기법을 무단으로 사용하는 것은 불법이며 비윤리적입니다. 보안 테스트 수행 전에 반드시 적절한 인가를 받으시기 바랍니다.