Skip to content

Wie gehst du die Rechteausweitung auf einem Windows-Ziel an?

Kurzantwort

Enumeriere die aktuellen Privilegien (whoami /priv), fehlkonfigurierte Dienste (schwache Berechtigungen, ungequotete Dienstpfade), AlwaysInstallElevated, geplante Aufgaben, gespeicherte Anmeldedaten und fehlende Patches. WinPEAS oder PowerUp automatisieren den Durchlauf; Token-Privilegien-Missbrauch wie SeImpersonate ist ein häufiger, wertvoller Treffer.

Windows-Rechteausweitung beim OSCP dreht sich, wie bei Linux, meist um Fehlkonfiguration. Die Herausforderung ist, dass Windows viel mehr Stellen bietet, an denen ein Administrator etwas falsch machen kann, daher ist strukturierte Enumerierung unerlässlich.

Wertvolle Prüfungen

  • Token-Privilegienwhoami /priv. Dienstkonten halten oft SeImpersonatePrivilege, das „Potato“-Angriffe missbrauchen, um SYSTEM zu imitieren. Das ist einer der häufigsten Prüfungstreffer.
  • Dienst-Fehlkonfigurationen — Dienste, deren Binary du überschreiben, deren Registry-Schlüssel du bearbeiten kannst oder die schwache Berechtigungen haben, erlauben dir, die ausführbare Datei zu tauschen und für SYSTEM neu zu starten.
  • Ungequotete Dienstpfade — ein Dienstpfad wie C:\Program Files\My App\svc.exe ohne Anführungszeichen lässt dich C:\Program.exe platzieren, wenn das Verzeichnis beschreibbar ist.
  • AlwaysInstallElevated — wenn beide Registry-Schlüssel gesetzt sind, installiert sich jede von dir erstellte MSI als SYSTEM.
  • Gespeicherte Anmeldedaten — Unattend.xml, Registry-Autologon, gespeicherte RDP-/WiFi-Anmeldedaten und der PowerShell-Verlauf geben regelmäßig Passwörter preis.
  • Patch-Stand — fehlende KBs entsprechen Kernel-Exploits, aber wie bei Linux sind diese eine Ausweichlösung.

Den Durchlauf automatisieren

WinPEAS, PowerUp (PowerSploit) und SharpUp enumerieren all dies schnell und markieren die vielversprechenden. Wie immer findet die Automatisierung die Kandidaten; du verifizierst und nutzt sie von Hand aus.

Warum Token-Missbrauch heraussticht

Viele reale Maschinen geben dir eine Webdienst-Shell, die unter einem Dienstkonto mit niedrigen Rechten läuft, das dennoch SeImpersonate hält. Dieses eine Privileg zu erkennen verwandelt eine Sackgassen-Shell schneller in SYSTEM als jeder andere Weg.

Worauf Interviewer achten

Eine konkrete Liste — Token-Privilegien, Dienst- und Pfad-Fehlkonfigurationen, AlwaysInstallElevated, gespeicherte Anmeldedaten — und das Bewusstsein, dass WinPEAS/PowerUp die Entdeckung automatisieren, während SeImpersonate eine bevorzugte Eskalation ist. Nur „Kernel-Exploits“ zu nennen verfehlt, wie die meisten Windows-Maschinen tatsächlich fallen.

Wahrscheinliche Anschlussfragen

  • Wie würdest du einen Dienst mit einem beschreibbaren Binary-Pfad ausnutzen?
  • Was erlaubt das SeImpersonatePrivilege einem Angreifer zu tun?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.