detecting-privilege-escalation-attempts
检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。
Best use case
detecting-privilege-escalation-attempts is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。
Teams using detecting-privilege-escalation-attempts should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-privilege-escalation-attempts/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-privilege-escalation-attempts Compares
| Feature / Agent | detecting-privilege-escalation-attempts | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测权限提升尝试 ## 适用场景 - 主动狩猎环境中权限提升尝试指标时 - 威胁情报表明使用这些技术的攻击活动正在活跃时 - 事件响应期间确定与这些技术相关的攻击范围时 - EDR 或 SIEM 告警触发相关指标时 - 定期安全评估和紫队(Purple Team)演练期间 ## 前置条件 - 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了完整配置的 Sysmon - 已启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报 feeds ## 工作流程 1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。 2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。 3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性和假阳性。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1134 | 访问令牌操控(Access Token Manipulation) | | T1548.002 | UAC 绕过(UAC Bypass) | | T1068 | 权限提升漏洞利用 | | T1574.009 | 未加引号的服务路径(Unquoted Service Path) | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:使用 Potato 漏洞利用进行 SYSTEM 令牌模拟 2. **场景 2**:Fodhelper.exe UAC 绕过技术 3. **场景 3**:PrintSpoofer 从服务到 SYSTEM 的权限提升 4. **场景 4**:CVE 内核漏洞利用进行本地权限提升 ## 输出格式 ``` Hunt ID: TH-DETECT-[DATE]-[SEQ] Technique: T1134 Host: [主机名] User: [账户上下文] Evidence: [日志条目、进程树、网络数据] Risk Level: [Critical/High/Medium/Low] Confidence: [High/Medium/Low] Recommended Action: [遏制、调查、监控] ```
Related Skills
performing-privileged-account-discovery
发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-privilege-escalation-on-linux
Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。
performing-privilege-escalation-assessment
在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。
performing-aws-privilege-escalation-assessment
在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-privileged-session-monitoring
监控和审计特权用户会话,包括 SSH、RDP 和数据库访问。 跟踪会话元数据、记录命令执行、检测异常活动, 并为 PAM 合规性执行会话策略。
implementing-privileged-identity-management-with-azure
使用 Microsoft Graph API 配置 Azure AD 特权身份管理(PIM),管理符合条件的角色分配、即时激活、访问审查,以及用于零信任特权访问的角色管理策略。
implementing-privileged-access-workstation
设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。
implementing-privileged-access-management-with-cyberark
部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。
implementing-azure-ad-privileged-identity-management
配置 Microsoft Entra 特权身份管理(PIM)以强制执行即时角色激活(Just-in-Time)、审批工作流和 Azure AD 特权角色的访问审查。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。