Red Team Field NotesPentest · Adversary Simulation · Validation
Élévation de privilèges Windows

Services, tâches et chemins

Méthode d’identification des mauvaises permissions, services, tâches, tokens et configurations sans exploitation destructive.

Services

Get-CimInstance Win32_Service |
  Select Name,StartName,StartMode,State,PathName |
  Sort StartName,Name

Vérifie : compte de service, chemin, permissions sur le binaire et le dossier, paramètres, possibilité de redémarrage et dépendances.

Chemins non quotés

Un chemin contenant des espaces sans guillemets peut être ambigu, mais il faut aussi qu’un répertoire intermédiaire soit modifiable et que le service démarre dans le contexte pertinent.

Tâches planifiées

Get-ScheduledTask | ForEach-Object {
  $t=$_; $i=$t | Get-ScheduledTaskInfo
  [pscustomobject]@{Task=$t.TaskName;Path=$t.TaskPath;State=$i.State;User=$t.Principal.UserId}
}

Examine l’action, le script et les permissions de chaque fichier référencé.

Validation sûre

Ne remplace pas un binaire de production. Utilise une copie du service dans le lab ou un fichier canari dont l’exécution écrit seulement un marqueur local.

Références officielles