Skip to content

¿Cómo abordas la escalada de privilegios en un objetivo Windows?

Respuesta breve

Enumera los privilegios actuales (whoami /priv), los servicios mal configurados (permisos débiles, rutas de servicio sin comillas), AlwaysInstallElevated, las tareas programadas, las credenciales almacenadas y los parches que faltan. WinPEAS o PowerUp automatizan el barrido; los abusos de privilegios de token como SeImpersonate son victorias frecuentes de alto valor.

La escalada de privilegios en Windows en el OSCP, igual que en Linux, trata sobre todo de malas configuraciones. El reto es que Windows tiene muchos más lugares donde un administrador puede equivocarse, así que la enumeración estructurada es esencial.

Comprobaciones de alto valor

  • Privilegios de token: whoami /priv. Las cuentas de servicio a menudo poseen SeImpersonatePrivilege, que los ataques «potato» abusan para suplantar a SYSTEM. Esta es una de las victorias de examen más comunes.
  • Malas configuraciones de servicios: los servicios cuyo binario puedes sobrescribir, cuya clave de registro puedes editar, o que tienen permisos débiles te permiten cambiar el ejecutable y reiniciar para obtener SYSTEM.
  • Rutas de servicio sin comillas: una ruta de servicio como C:\Program Files\My App\svc.exe sin comillas te deja plantar C:\Program.exe si el directorio es escribible.
  • AlwaysInstallElevated: cuando ambas claves de registro están activadas, cualquier MSI que elabores se instala como SYSTEM.
  • Credenciales almacenadas: Unattend.xml, el autologon del registro, las credenciales RDP/WiFi guardadas y el historial de PowerShell filtran contraseñas con regularidad.
  • Nivel de parches: los KB que faltan se corresponden con exploits de kernel, pero como en Linux son un recurso de reserva.

Automatiza el barrido

WinPEAS, PowerUp (PowerSploit) y SharpUp enumeran todo esto rápidamente y marcan los prometedores. Como siempre, la automatización encuentra los candidatos; tú los verificas y los explotas a mano.

Por qué el abuso de tokens destaca

Muchas máquinas reales te entregan un shell de servicio web que corre bajo una cuenta de servicio de bajos privilegios que, sin embargo, posee SeImpersonate. Reconocer ese único privilegio convierte un shell sin salida en SYSTEM más rápido que cualquier otra vía.

Qué buscan los entrevistadores

Una lista concreta —privilegios de token, malas configs de servicios y rutas, AlwaysInstallElevated, credenciales almacenadas— y la conciencia de que WinPEAS/PowerUp automatizan el descubrimiento mientras que SeImpersonate es una escalada de referencia. Nombrar solo «los exploits de kernel» pasa por alto cómo caen realmente la mayoría de las máquinas Windows.

Posibles preguntas de seguimiento

  • ¿Cómo explotarías un servicio con una ruta de binario escribible?
  • ¿Qué le permite hacer a un atacante el SeImpersonatePrivilege?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.