¿Cómo abordas la escalada de privilegios en un objetivo Windows?
Respuesta breve
Enumera los privilegios actuales (whoami /priv), los servicios mal configurados (permisos débiles, rutas de servicio sin comillas), AlwaysInstallElevated, las tareas programadas, las credenciales almacenadas y los parches que faltan. WinPEAS o PowerUp automatizan el barrido; los abusos de privilegios de token como SeImpersonate son victorias frecuentes de alto valor.
La escalada de privilegios en Windows en el OSCP, igual que en Linux, trata sobre todo de malas configuraciones. El reto es que Windows tiene muchos más lugares donde un administrador puede equivocarse, así que la enumeración estructurada es esencial.
Comprobaciones de alto valor
- Privilegios de token:
whoami /priv. Las cuentas de servicio a menudo poseenSeImpersonatePrivilege, que los ataques «potato» abusan para suplantar a SYSTEM. Esta es una de las victorias de examen más comunes. - Malas configuraciones de servicios: los servicios cuyo binario puedes sobrescribir, cuya clave de registro puedes editar, o que tienen permisos débiles te permiten cambiar el ejecutable y reiniciar para obtener SYSTEM.
- Rutas de servicio sin comillas: una ruta de servicio como
C:\Program Files\My App\svc.exesin comillas te deja plantarC:\Program.exesi el directorio es escribible. - AlwaysInstallElevated: cuando ambas claves de registro están activadas, cualquier MSI que elabores se instala como SYSTEM.
- Credenciales almacenadas: Unattend.xml, el autologon del registro, las credenciales RDP/WiFi guardadas y el historial de PowerShell filtran contraseñas con regularidad.
- Nivel de parches: los KB que faltan se corresponden con exploits de kernel, pero como en Linux son un recurso de reserva.
Automatiza el barrido
WinPEAS, PowerUp (PowerSploit) y SharpUp enumeran todo esto rápidamente y marcan los prometedores. Como siempre, la automatización encuentra los candidatos; tú los verificas y los explotas a mano.
Por qué el abuso de tokens destaca
Muchas máquinas reales te entregan un shell de servicio web que corre bajo una cuenta de servicio de bajos privilegios que, sin embargo, posee SeImpersonate. Reconocer ese único privilegio convierte un shell sin salida en SYSTEM más rápido que cualquier otra vía.
Qué buscan los entrevistadores
Una lista concreta —privilegios de token, malas configs de servicios y rutas, AlwaysInstallElevated, credenciales almacenadas— y la conciencia de que WinPEAS/PowerUp automatizan el descubrimiento mientras que SeImpersonate es una escalada de referencia. Nombrar solo «los exploits de kernel» pasa por alto cómo caen realmente la mayoría de las máquinas Windows.
Posibles preguntas de seguimiento
- ¿Cómo explotarías un servicio con una ruta de binario escribible?
- ¿Qué le permite hacer a un atacante el SeImpersonatePrivilege?