web-hacking

Windows Privilege Escalation 2026: Guida Completa ai Token Privilege (Se*)

Windows Privilege Escalation 2026: Guida Completa ai Token Privilege (Se*)

Mappa completa dei token privilege Windows sfruttabili in un pentest. Da whoami /priv a SYSTEM: cheat sheet, tabelle, workflow e link alle guide operative.

  • Pubblicato il 2026-07-01
  • Tempo di lettura: 5 min

Windows Privilege Escalation 2026: Guida Completa ai Token Privilege (Se*) #

Hai una shell su una macchina Windows. Il passo successivo è quasi sempre lo stesso: whoami /priv. Quella riga sola ti dice tutto — quali privilegi hai, quali vettori sono disponibili, quanto sei vicino a nt authority\system. Questa guida copre tutti i token privilege di Windows sfruttabili in un pentest, con link alle guide operative complete per ognuno.


Cos’è un Token Privilege su Windows #

Windows assegna a ogni processo un access token — una struttura che contiene l’identità dell’utente, i gruppi di appartenenza e un elenco di privilegi (SePrivilege). Questi privilegi controllano cosa il processo può fare a livello di sistema: impersonare utenti, debuggare altri processi, caricare driver, leggere file bypassando le ACL.

La maggior parte dei privilegi è presente nel token ma disabilitata — i processi li abilitano quando ne hanno bisogno tramite AdjustTokenPrivileges. Alcuni tool come GodPotato, mimikatz e i vari Potato attack li abilitano automaticamente prima dell’exploit.


Enumerazione — Il Primo Passo #

Verifica rapida dei privilegi #

cmd
whoami /priv

Questo è il comando più importante del post-exploitation Windows. Eseguilo sempre subito dopo aver ottenuto accesso.

Enumerazione automatica completa #

winPEAS — lo strumento più usato per l’enumeration automatica su Windows. Rileva privilegi, servizi vulnerabili, credenziali salvate, path hijackable e molto altro:

cmd
winPEAS.exe quiet tokencheck
winPEAS.exe

Seatbelt — C# tool per audit di sicurezza host-side, più silenzioso di winPEAS:

cmd
Seatbelt.exe TokenPrivileges
Seatbelt.exe -group=all

accesschk — Sysinternals, verifica chi ha un privilegio specifico nel sistema:

cmd
accesschk.exe -a SeImpersonatePrivilege *
accesschk.exe -a SeDebugPrivilege *

SharpUp — audit rapido dei vettori di escalation più comuni:

cmd
SharpUp.exe audit

PrivescCheck — script PowerShell alternativo a winPEAS:

powershell
. .\PrivescCheck.ps1; Invoke-PrivescCheck

Mappa dei Token Privilege — Da Privilegio a SYSTEM #

Ogni privilegio apre vettori diversi. Questa tabella è il riferimento rapido — trova il privilegio che hai e vai direttamente alla guida operativa.

Tier 1 — SYSTEM Immediato #

I più comuni nei pentest reali. Se ne hai uno di questi, sei vicino a SYSTEM.

PrivilegioImpattoVettore principaleGuida
SeImpersonatePrivilegeSYSTEM shellPotato attack (GodPotato)→ Guida completa
SeAssignPrimaryTokenPrivilegeSYSTEM shellPotato attack (GodPotato -t 2)→ Guida completa
SeDebugPrivilegeLSASS dump → hash ADcomsvcs.dll / nanodump→ Guida completa
SeLoadDriverPrivilegeRing-0, kill EDR, bypass PPLBYOVD (Capcom.sys, RTCore64)→ Guida completa

Tier 2 — SYSTEM con un Servizio Target #

Richiedono un servizio SYSTEM sfruttabile nell’ambiente — quasi sempre presente.

PrivilegioImpattoVettore principaleGuida
SeBackupPrivilegeSAM + NTDS.dit → tutti gli hash ADreg save + secretsdump→ Guida completa
SeRestorePrivilegeBinary replacement → SYSTEMreg add ImagePath + robocopy /B→ Guida completa
SeTakeOwnershipPrivilegeFile/registry arbitrari → SYSTEMtakeown + icacls + binary replace→ Guida completa
SeRelabelPrivilegeBypass MIC → scrittura su file Highicacls /setintegritylevel→ Guida completa
SeManageVolumePrivilegeRaw disk → SAM/NTDS.ditRawCopy + secretsdump→ Guida completa

Tier 3 — Domain Compromise #

Vettori che partono da account di dominio anche senza privilegi locali.

PrivilegioImpattoVettore principaleGuida
SeMachineAccountPrivilegeDomain AdminRBCD + getST.py + secretsdump→ Guida completa

Tier 4 — Condizionali / Specifici #

Richiedono condizioni particolari nell’ambiente o sono rari su account non di sistema.

PrivilegioImpattoVettore principaleGuida
SeCreateSymbolicLinkPrivilegeScrittura arbitraria via TOCTOUmklink + race condition→ Guida completa
SeDelegateSessionUserImpersonatePrivilegeToken steal cross-session (RDS/Citrix)NtObjectManager→ Guida completa
SeSecurityPrivilegeOpSec: cancella log, rimuovi SACLwevtutil + SetACL→ Guida completa
SeTrustedCredManAccessPrivilegeDump Credential Managercmdkey + mimikatz + SharpDPAPI→ Guida completa
SeSystemEnvironmentPrivilegePATH hijacking / UEFI persistencereg add PATH + Process Monitor→ Guida completa

Tier 5 — Critici: Documenta Immediatamente #

Quasi esclusivi di processi SYSTEM. Trovarli su account non di sistema è un finding P0.

PrivilegioImpattoNotaGuida
SeCreateTokenPrivilegeToken forgery da zero con NtCreateTokenFinding critico P0→ Guida completa
SeTcbPrivilegeLogon session arbitrarie via LSA con SID customFinding critico P0→ Guida completa

Workflow di Escalation — Dalla Shell a SYSTEM #

Fase 1 — Enumera subito #

cmd
whoami /priv
whoami /groups
whoami /all

Poi automatizza:

cmd
winPEAS.exe quiet tokencheck
Seatbelt.exe TokenPrivileges

Fase 2 — Identifica il vettore #

Hai SeImpersonatePrivilege o SeAssignPrimaryTokenPrivilege? → Potato attack → SYSTEM in 2 comandi.

Sei nel gruppo Backup Operators? → SeBackupPrivilege + SeRestorePrivilege → SAM dump + binary replacement.

Hai SeDebugPrivilege in token elevato? → comsvcs.dll MiniDump → LSASS → hash NTLM → PTH.

Sei in Print Operators? → SeLoadDriverPrivilege → BYOVD → ring-0 → bypass PPL e EDR.

Hai solo credenziali di dominio? → MachineAccountQuota → RBCD → Domain Admin.

Fase 3 — Esegui il Quick Exploit #

Ogni guida della serie ha un blocco Quick Exploit con i comandi minimi. Inizia sempre da lì.

Fase 4 — Post-SYSTEM: Dump e Persistence #

cmd
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

Oppure senza tool esterni:

cmd
rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump [PID lsass] C:\temp\lsass.dmp full

Su macchina attaccante:

bash
python3 pypykatz lsa minidump lsass.dmp
python3 secretsdump.py -sam sam.hive -system system.hive LOCAL

Tool Essenziali — Cheatsheet #

Enumeration #

ToolUsoDownload
winPEASEnumeration automatica completaPEASS-ng GitHub
SeatbeltHost survey offensivoGhostPack/Seatbelt
SharpUpAudit vettori comuniGhostPack/SharpUp
accesschkVerifica permessi e privilegiSysinternals
PrivescCheckScript PowerShell alternativoitm4n/PrivescCheck

Potato Attack (SeImpersonatePrivilege) #

ToolVersioni supportateDownload
GodPotatoWin10 / Srv 2016–2022BeichenDream/GodPotato
PrintSpooferWin10 / Srv 2016–2019itm4n/PrintSpoofer
SweetPotatoWin10 / Srv 2016–2022CCob/SweetPotato
JuicyPotatoWin7 / Srv 2008–2016ohpe/juicy-potato
RoguePotatoWin10 / Srv 2016–2022antonioCoco/RoguePotato

Credential Dump #

ToolUso
comsvcs.dll MiniDumpLSASS dump — built-in Windows, zero tool esterni
mimikatzDump LSASS, vault, DPAPI, ticket Kerberos
nanodumpLSASS dump con direct syscalls — evasion EDR
SharpDPAPICatena DPAPI completa — vault, credenziali
Impacket secretsdumpDump offline SAM/NTDS + via rete su DC

Active Directory #

ToolUso
Impacket (addcomputer, getST, secretsdump)RBCD, hash dump, ticket Kerberos
RubeusTicket Kerberos, S4U, PTT — Windows
PowerMadComputer account creation da Windows
PowerViewEnumeration AD, ACL, RBCD config
BloodHoundGrafo AD — trova path verso DA

Kernel / Driver #

ToolUso
EoPLoadDriverCarica driver con SeLoadDriverPrivilege
ExploitCapcomKernel exec via Capcom.sys
EDRSandBlastKill EDR via kernel driver BYOVD
LOLDriversLista driver firmati vulnerabili

Gruppi AD da Controllare Sempre #

Alcuni gruppi Active Directory assegnano privilegi critici per design. Verificali sempre nell’enumeration:

cmd
net localgroup "Backup Operators"
net localgroup "Print Operators"
net localgroup "Server Operators"
net localgroup Administrators
powershell
Get-ADGroupMember "Backup Operators" -Recursive | Select-Object Name, SamAccountName
Get-ADGroupMember "Print Operators" -Recursive | Select-Object Name, SamAccountName
GruppoPrivilegi criticiVettore
Backup OperatorsSeBackupPrivilege + SeRestorePrivilegeSAM/NTDS dump + binary replacement
Print OperatorsSeLoadDriverPrivilegeBYOVD → ring-0 (anche sui DC)
Server OperatorsSeBackupPrivilege + altriSimile a Backup Operators

Verifica Token Elevato o Non Elevato (UAC) #

Molti privilegi — SeDebugPrivilege, SeTakeOwnershipPrivilege, SeImpersonatePrivilege — sono presenti nel token ma Disabled fuori da un processo elevato.

cmd
whoami /groups | findstr "Mandatory"
  • High Mandatory Level → token elevato → privilegi abilitabili
  • Medium Mandatory Level → token non elevato (UAC split) → alcuni privilegi Disabled

Se sei in Medium e hai bisogno di un token elevato:

cmd
runas /user:Administrator cmd

Oppure usa un bypass UAC (fuori scope di questa guida — dipende dall’ambiente).


Detection — Cosa Logga Windows #

Se sei in un ambiente monitorato, questi sono gli Event ID che generano alert più frequentemente:

EventoIDTrigger
Processo figlio anomalo (w3wp → cmd)4688Potato attack post-escalation
Named pipe anomaloSysmon 17/18GodPotato / PrintSpoofer
Accesso a lsass.exeSysmon 10LSASS dump
Pattern comsvcs.dll + lsass PIDSysmon 1LSASS dump built-in
Driver caricato da path anomaloSysmon 6BYOVD
Security log cleared1102SeSecurityPrivilege
Computer account creato da non-admin4741RBCD attack
SAM / NTDS.dit accessed4663SeBackupPrivilege

Per la gestione dell’OpSec e come ridurre il rumore: → SeSecurityPrivilege — Cancellare Log e Operare Invisibili


Riferimenti Esterni #


Indice Completo della Serie #

Guida operativa completa per ogni privilegio Windows sfruttabile in un pentest:

  1. SeImpersonatePrivilege — Potato Attack da Webshell a SYSTEM
  2. SeAssignPrimaryTokenPrivilege — Potato Attack anche Senza SeImpersonate
  3. SeBackupPrivilege — Dump SAM e NTDS.dit senza Shell sul DC
  4. SeRestorePrivilege — Binary Replacement e Backdoor Persistente
  5. SeDebugPrivilege — LSASS Dump e Credential Access
  6. SeTakeOwnershipPrivilege — Ownership Arbitraria su File e Servizi SYSTEM
  7. SeLoadDriverPrivilege — BYOVD, Kernel Code Execution e Kill EDR
  8. SeCreateSymbolicLinkPrivilege — Symlink Attack e Scrittura Arbitraria
  9. SeManageVolumePrivilege — Raw Disk Access per Estrarre SAM e NTDS.dit
  10. SeDelegateSessionUserImpersonatePrivilege — Token Stealing Cross-Session su RDS
  11. SeCreateTokenPrivilege — Token Forgery da Zero con NtCreateToken
  12. SeTcbPrivilege — Logon Session Arbitrarie via LSA
  13. SeSecurityPrivilege — Cancellare Log e Operare Invisibili
  14. SeTrustedCredManAccessPrivilege — Dump Credenziali RDP e Password Salvate
  15. SeRelabelPrivilege — Bypass Mandatory Integrity Control
  16. SeMachineAccountPrivilege — RBCD da Utente di Dominio a Domain Admin
  17. SeSystemEnvironmentPrivilege — PATH Hijacking e Persistenza UEFI

Hai trovato un privilegio non in questa lista o hai bisogno di supporto su un engagement specifico? hackita.it/supporto

Per assessment completi di privilege escalation e Active Directory: hackita.it/servizi

#windows-privilege-escalation #token-privilege #se privesc

DIVENTA PARTE DELL’ÉLITE DELL’HACKING ETICO.

Accedi a risorse avanzate, lab esclusivi e strategie usate dai veri professionisti della cybersecurity.

Non sono un robot

Iscrivendoti accetti di ricevere la newsletter di HACKITA. Ti puoi disiscrivere in qualsiasi momento.