随着网络安全的发展和普及,不打补丁的系统少之又少,所以很多时候通过系统自身的漏洞很难提权,这个时候就需要考虑查看是否存在可利用的错误系统配置,例如路径未加引号或未指定可执行文件路径等,总而言之就是因为管理员在配置一些软件的时候存在漏洞导致可以提权的方式。

windows服务通常都是以System权限运行的，所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。如果我们能利用这一特性，就有机会进行权限提升。

提权的条件如下：

1、服务路径没有用引号引起来

2、服务的路径中存在空格

3、服务以最高权限启动后

4、当前权限具有到对应目录下写文件

PATH环境变量包含很多目录列表，某些执行程序的方法（即使用cmd.exe或命令行）仅依赖PATH环境变量来确定未提供程序路径时搜索程序的位置。

通常 Windows服务都是以 System权限运行的,当由于系统管理员错误配置导致低权限用户可以对某些服务修改时,可以通过修改服务启动文件的路径“ binpath”,将其替换为恶意程序的路径,这样服务启动时便会运行恶意程序。

Windows的服务路径存储在Windows的注册表中，若注册表配置不当，当攻击者可以发现使用低权限可以更改注册表的选项的时候，就可以导致提权，可以将 imagepath 修改成恶意的文件，重启导致提权。

注册表键AlwaysInstallElevated是一个策略设置项。windows允许低权限用户以System权限运行安装文件。如果启用此策略设置项，那么任何权限用户都能以NTAUTHORITY\SYSTEM权限来安装恶意的MSI(Microsoft Windows Installer)文件。

只要我们能知道电脑的最高权限的账号密码，或者一些票据或者凭证我们就可以通过认证，执行最高权限的命令。

1、配置文件泄露

2、本地凭证泄露

3、其他文件泄露

计划任务提权的原理非常的简单，就是在设置计划任务的时候配置不当，导致我们可以更改计划任务执行的文件，我们可以进行劫持然后替换成自己的恶意文件达到提权的目的。

windows启动项目录下的脚本可以开机自启，利用这一个特性向上述的目录传入恶意的脚本达到提权的目的，前提是有目录或者注册表的更改权限。