> For the complete documentation index, see [llms.txt](https://securitylayer.gitbook.io/securitylayer/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/printspoofer.md). # PrintSpoofer **Categoría y Tipo de Herramienta** PrintSpoofer es un ejecutable de escalada de privilegios local diseñado para abusar de las capacidades de suplantación de identidad en sistemas Windows modernos. Al igual que PetitPotato, se centra en la explotación de cuentas de servicio con privilegios de impersonación. **Propósito Principal y Casos de Uso** Su función es obtener una shell interactiva con privilegios de `NT AUTHORITY\SYSTEM` partiendo de una cuenta de servicio de red o IIS. Se distingue por ser altamente efectivo en versiones modernas de Windows (Server 2016/2019/2022) donde herramientas anteriores como JuicyPotato dejaron de funcionar debido a cambios en la arquitectura de DCOM y RPC. Es una herramienta estándar en la fase de post-explotación cuando se comprometen servicios web o bases de datos. **Arquitectura y Modo de Funcionamiento** PrintSpoofer explota el servicio *Print Spooler* de Windows. La herramienta crea un *Named Pipe* con un nombre predecible y utiliza la API `SeImpersonatePrivilege` disponible en la cuenta del atacante. El ataque consiste en solicitar al servicio Spooler (que corre como SYSTEM) que actualice sus configuraciones y notifique al atacante conectándose al pipe creado previamente. Una vez que el proceso SYSTEM conecta al pipe, PrintSpoofer utiliza la función `ImpersonateNamedPipeClient` de la API de Windows para duplicar el token de acceso del cliente (SYSTEM) y crear un nuevo proceso con dichos privilegios. **Protocolos y Tecnologías** * Tecnologías: Windows Named Pipes, API de Windows (Advapi32.dll). * Servicios: Print Spooler Service (spoolsv.exe). * Mecanismos: Token Impersonation, Inter-Process Communication (IPC). **Requisitos Técnicos** * Sistema Operativo: Windows 10, Windows Server 2016, 2019 y 2022. * Privilegios: Requiere `SeImpersonatePrivilege` (común en cuentas de servicio como `IIS AppPool\DefaultAppPool`). * Dependencias: El servicio Print Spooler debe estar ejecutándose en el objetivo. ***Ver máquinas:*** [***Relevant***](/securitylayer/maquinas-y-modulos-de-thm/machines/relevant.md) ***(THM)*** --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/printspoofer.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.