Windows

AlwaysInstallElevated politikasi hem HKLM hem HKCU altinda 1 ise, herhangi bir kullanici .msi paketlerini NT AUTHORITY\SYSTEM yetkisiyle kurabilir. msfvenom ile uretilen kotu amacli MSI msiexec ile calistirilarak SYSTEM elde edilir.

SeAssignPrimaryTokenPrivilege; bir process'e primary token atayabilme yetkisidir. Genellikle SeImpersonate ile birlikte servis hesaplarinda bulunur ve ayni Potato ailesi (PrintSpoofer/GodPotato) ya da CreateProcessAsUser tabanli aractar ile SYSTEM'e yukseltilir.

Otomatik oturum acma (autologon) yapilandirilmis sistemlerde Winlogon registry anahtari DefaultUserName, DefaultPassword ve DefaultDomainName degerlerini cogu zaman acik metin olarak saklar; bu, dusuk yetkili kullanici tarafindan okunarak ayricalikli hesabin parolasini verir.

Run/RunOnce registry anahtarlarinda veya Startup klasorunde tanimli, ayricalikli bir kullanici/SYSTEM tarafindan tetiklenen binarilere yazma yetkimiz varsa, binaryi degistirip veya yeniden olusturup o kullanicinin oturum acmasiyla kod calistirabiliriz.

Yüksek yetkili bir işlem/servis var olmayan bir DLL'i ararken yazma hakkına sahip olduğun bir dizinde (uygulama klasörü veya yazılabilir PATH dizini) arıyorsa, oraya kötü amaçlı DLL koyup işlemi tetikleyerek SYSTEM bağlamında kod çalıştırırsın. ProcMon ile 'NAME NOT FOUND' DLL'leri enumere edilir.

Ilk shell alindiktan sonra Windows uzerinde yetki yukseltme yollarini sistematik bulmak icin manuel komutlar (whoami /priv, whoami /all, systeminfo) ve otomatik araclarin (winPEAS, Seatbelt, PowerUp, accesschk, SharpUp) tam akisi. Tum diger privesc tekniklerinin giris noktasidir.

Windows 10/11'de hatali ACL'ler nedeniyle SAM, SYSTEM ve SECURITY registry hive'lari standart kullanicilar tarafindan okunabilir hale gelir. Volume Shadow Copy uzerinden bu hive'lar kopyalanip secretsdump ile yerel hesap hash'leri (Administrator dahil) cikarilir.

Yapısal yol kapalıysa son çare kernel exploit. systeminfo / KB listesini al, WESNG (Windows-Exploit-Suggester-NG) veya Watson ile eksik patch'leri eşle, searchsploit/GitHub'dan precompiled binary bul, çalıştır. OSCP'de kernel exploit dikkatli ve son sırada kullanılır.

Windows Print Spooler servisindeki RpcAddPrinterDriverEx zafiyetiyle, kimliği doğrulanmış herhangi bir kullanicinin SYSTEM yetkisinde DLL yukleyip kod calistirmasi. Hem lokal (LPE) hem uzak (RCE) varyanti vardir; impacket ve PowerShell PoC'lariyla somurulur.

Ayricalikli bir kullanici/SYSTEM olarak periyodik calisan zamanlanmis gorevlerin isaret ettigi binary veya script uzerinde yazma yetkimiz varsa, dosyayi payload ile degistirip gorev tetiklendiginde yuksek yetkiyle kod calistiririz.

SeBackupPrivilege (ve genelde yanında gelen SeRestorePrivilege) raw dosya okuma yetkisi verir. Bu yetkiyle SAM+SYSTEM hive'larını dökersin, ya da DC'de diskshadow/robocopy /b ile kilitli ntds.dit'i kopyalayıp offline secretsdump ile tüm domain hash'lerini çekersin.

SeDebugPrivilege ile yuksek ayricalikli process'lere (lsass, SYSTEM servisleri) erisip token'larini caldirma, lsass dump alma ve mevcut SYSTEM token'ini impersonate ederek (incognito / Mimikatz token::elevate / RunasCs) yetki yukseltme yontemleri.

SeImpersonatePrivilege veya SeAssignPrimaryTokenPrivilege tasiyan servis hesaplarini (IIS, MSSQL, sched task) NT AUTHORITY\SYSTEM'e yukselten tum Potato ailesinin secim rehberi: hangi Windows surumunde hangi araci kullanacaginiz ve calisma mantigi.

Windows sistemleri unattend.xml/sysprep, Group Policy Preferences cpassword, Credential Manager, cmdkey kayitlari, kayitli PuTTY/WinSCP/RDP/WiFi profilleri, registry autologon ve SAM/SYSTEM kovanlarinda parolalar saklayabilir. Bu kaynaklar taranarak ayricalikli hesaplara gecis yapilir.

Admin grubundasın ama tokenin medium-integrity (UAC nedeniyle elevate edilmemiş). fodhelper/computerdefaults/eventvwr/sdclt gibi auto-elevate ikililerinin okuduğu HKCU registry anahtarlarını hijack ederek elevation prompt olmadan high-integrity komut çalıştırırsın.

Tırnaksız (unquoted) ve boşluk içeren binPath'e sahip bir servis, yolu boşluklardan parçalayarak çalıştırılır. Yol üzerindeki herhangi bir ara dizine yazma hakkın varsa, oraya kötü amaçlı bir .exe koyup servisi (genelde SYSTEM olarak) yeniden başlatarak yetki yükseltirsin.

HKLM\SYSTEM\CurrentControlSet\Services\<svc> altındaki bir servis registry anahtarına yazma hakkın varsa, ImagePath değerini kendi binary'ne çevirip servisi restart ederek SYSTEM olarak kod çalıştırırsın. sc CHANGE_CONFIG yoksa bile registry ACL'i bunu mümkün kılabilir.

Bir servis nesnesi üzerinde SERVICE_CHANGE_CONFIG (veya WRITE_DAC/SERVICE_ALL_ACCESS) hakkın varsa, sc config ile binPath'i kendi komutunla değiştirip servisi restart ederek SYSTEM olarak kod çalıştırırsın.

PowerShell araçlarını (Nishang, PowerUp, mimikatz) çalıştırırken AMSI'nin bloklamasını aşma teknikleri: reflection ile amsiInitFailed yamalaması, string-obfuscation kavramı, amsi.fail/Invoke-Obfuscation, DefenderCheck ile imza tespiti ve admin olarak real-time protection devre dışı bırakma. Savunma/eğitim çerçevesinde anlatılır.

WinRM (5985/5986) servisine karsi parola, NTLM hash (PtH) veya Kerberos PKINIT ile interaktif PowerShell shell almak, dosya upload/download yapmak ve Evil-WinRM'in scripts/executables menulerini kullanmak.

Impacket araclariyla uzaktan komut yurutme (psexec/wmiexec/smbexec/dcomexec/atexec), credential dumping (secretsdump/DCSync), Kerberos saldirilari (GetNPUsers AS-REP, GetUserSPNs Kerberoasting, getST), ve NTLM relay (ntlmrelayx) referansi.

Mimikatz ile LSASS bellekten plaintext parola/NTLM hash cekme (sekurlsa::logonpasswords), SAM/LSA dump, pass-the-hash, Kerberos ticket enjeksiyonu (ptt) ve domain admin ile DCSync uzerinden replikasyon yoluyla hash cikarma.

Windows hedeften Kali'ye reverse shell almanın tüm yöntemleri: PowerShell one-liner (IEX/TcpClient), nc.exe -e, ConPtyShell ile tam etkileşimli PTY, Nishang Invoke-PowerShellTcp, msfvenom shell_reverse_tcp payload üretimi ve rlwrap ile shell kalitesi iyileştirme.

Foothold sonrası Kali'den Windows hedefe (ve geri) dosya taşımanın tüm yolları: certutil -urlcache, PowerShell Invoke-WebRequest / DownloadFile / DownloadString, bitsadmin, impacket-smbserver + copy, wget.exe, base64 kopyala-yapıştır ve scp. Her yöntem farklı bir AV/ağ kısıtı altında işe yarar.