**文章目录结构 **

前置知识

windows权限的划分

System：系统组，拥有管理系统资源的权限，包括文件、目录和注册表等。

Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。

Users：普通用户组,这个组的用户无法进行有意或无意的改动。

Guests：来宾组,来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多

Everyone：所有的用户，这个计算机上的所有用户都属于这个组。

这几种是比较常见的，还有Power Users：高级用户组等

提权的方式

内核溢出漏洞提权

数据库类型提权

第三方软件应用提权

本篇文章主要是介绍内核溢出漏洞提权以及一些win特性导致的提权，数据库提权的话是一种单独的技术，这和win没有太大的关系，linux上也是一样，之后会单独出一篇关于数据库提权的，第三方软件应用提权主要指的是类似于向日葵等远控软件连接密码的获取会合到数据库提权中。

WEB–>操作系统的提权

内核漏洞提权

市面上作为服务器使用较多的操作系统有Windows Server 2008、2012、2016，我这里折中一下选用2012做****演示，我这里为了贴近真实环境，直接买计时服务器演示，各位下去可以用虚拟机实验。

工具提权

我先演示工具提权，我这里是WEB到操作系统的权限提升

MSF(不推荐)

使用msf生成木马通过webshell上传到对方服务器上

msf配置好监听，然后run，再运行木马程序

收到回话，然后我们通过msf的漏洞筛选模块，筛选一下可能存在的内核漏洞

绿色就代表可能存在，再利用exp提权

这里选择一个经典的烂土豆进行提取

但是看到它这里说成功，但是没有会话产生,看样子是失败了，这种情况下有几种情况我们需要排查一下，可能这个漏洞利用产生的会话需要反弹，我们可以尝试一下(但是它这里不是这个问题，就是利用失败了)。因为我们使用的MSF大多数是免费的公开版，漏洞POC较少，所以不推荐使用，有条件的可以购买pro版本。

CS

cs它自身只有一个提权利用，所以我们主要是使用别人写好的插件里面的提权模块进行提权

在服务器上启动cs

创建监听器并生成木马

还是一样的步骤，上传到对方服务器上执行

成功上线，使用插件进行提权

成功上线

工具提权已经介绍完了，工具提权的好处显然易见，简单，方便，傻瓜式操作，但是像MSF免费版poc太少，Pro版本要花钱；CS呢得等别人更新插件，大多数也都是收费的。提权技术是一直在更新的，所以我们需要掌握手工提权技术。

手工提权步骤：

信息收集：主要是搜集对方服务器上的补丁信息，操作系统等

补丁筛选：根据对方的操作系统以及补丁情况筛选可能存在的漏洞

EXP获取执行：筛选后寻找对应编号的POC进行提权

第一步_信息收集：在对方服务器上使用Systeminfo命令获取信息

第二步_补丁筛选：这里推荐一个在线网站，一个筛选工具

我们就可以根据对方的补丁信息在判断可能存在哪些漏洞，在寻找POC进行利用

得到可能存在的漏洞后就进入下一步。

第三步_EXP获取执行：这里推荐几个漏洞POC集合项目

这里有一点要注意，网上公开的exp也是别人写好的，如果使用后没有效果，不一定是服务器上没有这个漏洞，可能是环境的问题，作者在它当时的环境下可能可以成功，所以如果遇到提权失败可以多换几个POC

手工提权大致流程就是这样，但是这个流程比较繁琐，有没有更简单的？必须有，接下来介绍土豆提权，如果一个人不懂土豆提权，那么他win提权就白学了。

土豆家族

介绍：土豆(potato)提权通常用在我们获取WEB/数据库权限的时候，可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。

**土豆提权原理：**土豆系列提权的核心是NTLM中继，通过欺骗运行在高权限（Administrator/SYSTEM）的账户进行ntlm认证，同时作为中间人对认证过程进行劫持和重放，最后调用本地认证接口使用高权限账号的ntml认证获取一个高权限token，只要当前进程拥有SeImpersonatePrivilege权限即可进行令牌模仿，即可取得对应权限。

目前网上的土豆提权系列共有12种，基本覆盖了Windows系统的全系列，我这里挑几个演示。

BadPotato

GodPotato

PrintNotifyPotato

各土豆的利用版本以及下载地址

管理员–>操作系统提权

服务启动提权

SC

介绍：sc.exe为服务控制管理service control manager，用于对计算机的系统服务进行管理，实现注册，运行，暂停，自启等基础操作，用户能够将符合Windows系统服务化条件的程序进行本地系统后台服务化运行，注册到服务注册表目录下的程序，通过sc的指令实现程序执行状态的切换和管理。

简单来说，添加的服务默认为操作系统权限，我们可以添加服务并把服务指向木马程序

创建一项服务

开启创建的服务

远程控制提权

psexec

介绍：PsExec 是一种轻量级 telnet 替代品，可让你在其他系统上执行进程，并为控制台应用程序提供完整交互性，而无需手动安装客户端软件。PsExec 最强大的用途包括在远程系统上启动交互式命令提示符，以及 IpConfig 等远程启用工具，否则无法显示有关远程系统的信息。

它启动的程序也会以操作系统权限启动，而且这个psexec是微软官方的工具，不存在查杀问题

‍

介绍：进程注入是一种在某个单独的实时进程的地址空间中执行任意代码的方法。在一个进程的上下文中运行特定代码，则有可能访问该进程的内存，系统或网络资源以及提升权限，这里演示工具使用

MSF

使用ps命令获取当前进程

寻找system权限的，然后最好是x86的

migrate PID

CS

也是一样，先ps获取进程

使用inject PID注入

我这里只演示了提权，进程注入也注低权限用户，也就是降权

介绍：令牌（Token）是系统的临时密钥，相当于账户名和密码，用来决定是否允许这次请求和判断这次请求是属于哪一个用户的，它允许你在不提供密码或其他凭证的前提下，访问网络和系统资源，这些令牌持续存在系统中，除非系统重新启动。伪造令牌攻击的核心是 Kerberos 协议。其中注意：令牌窃取并非提权！这里也是演示工具

MSF

CS

介绍：用户帐户控制 (UAC) 有助于防止恶意程序（也称为恶意软件）损坏计算机，并帮助组织部署更好的托管桌面。通过 UAC，应用程序和任务可始终在非管理员帐户的安全上下文中运行，除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装，并防止无意中更改系统设置。

那么这个东西对于我们提权会有什么影响呢？

对方如果开启了这个，当我们运行一些程序时会出现这个界面

我们实战情况下通常获取到的都是命令行，又没办法在对方服务器上点确定，所以会导致木马或者提权程序运行失败，所以我们需要绕过它

uac绕过不属于提权技术的一种，只不过当我们在做权限提升的时候可能会遇到这种情况，所以会用到它。

介绍：在Windows系统中，为了节省内存和实现代码重用，微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL（Dynamic Link Library），即动态链接库，这种库包含了可由多个程序同时使用的代码和数据。

简单来说就是win下的大部分程序在运行时都会加载一些DLL文件，所谓DLL劫持就是替换程序在运行时会加载的DLL文件，让程序加载我们生成的恶意DLL文件达到上线。

注意**：DLL劫持属于被动的权限提权，获取到的权限主要是看程序是由谁运行的。**

DLL劫持利用流程

寻找受害程序，优先寻找自启动的或者对方可能常用的

测试程序启动时，会调用的DLL文件并测试能否劫持

生成同名称的恶意dLL文件，进行替换

等待服务器程序运行或管理员运行

第一步_寻找受害程序:我这里选用flashfxp

第二步_测试程序运行时加载的DLL文件：我这里使用火绒剑

选中运行程序，查看它调用的DLL文件，这里优先查看软件本身自带的，因为系统中的DLL文件我们是没有权限替换的，如果能替换的话我们也就没有必要提权了，接下来测试DLL能否劫持

使用工具：ChkDllHijack

项目地址：https://github.com/anhkgg/anhkgg-tools

这样就表示可以

输出no就表示不行

第三步_生成恶意DLL文件进行替换：我这里使用CS生成

修改名称替换

第四步_等待服务器重启或者管理员运行

不安全的服务路径是什么呢?，win系统上的服务通常都会对应一个执行程序，列如下图

这个为什么会造成权限提升呢？它这里指向的可执行程序是一个整体所以不会照成安全问题，看下面这个

它指向的执行文件路径是这个

它没有使用双引号包裹，说明它不是一个整体，并且它的中间是有空格的

c:\programfiles (x86):这个如果在执行的话会执行c:\program 而files会被当初参数，那么我们就可以生成名为program的木马放到c盘下服务启动时就会执行我们的木马了。

服务检测命令

替换完成后使用sc重启服务即可

这个实战碰上的可能性太小了，说白就是你能直接替换服务指向的可执行程序，然后再开启服务，但是假如说我是系统用户权限，除非管理员瞎搞，不然我是不能替换system启动服务的可执行程序的。

普通用户是没有修改指向的权限的，除非对方做了设置

域控提权技术

其实到这里win单机的提权技术就已经介绍完了，但是为了完整性，还是把域控提权加上。由于我机子没有内网环境，所以只是简单提一下，之后更新内网文章的时候会重点讲。

域控提权目前主要的还是使用网上公开的几个CVE漏洞的POC攻击来进行权限提升。

WIN-AD域控提权-CVE-2014-6324

WIN-AD域控提权-CVE-2021-42287

WIN-AD域控提权-CVE-2020-1472

WIN-AD域控提权-CVE-2022-26923

CVE-2014-6324

利用条件：

需要域用户账号密码

一台主机的管理员权限

CVE-2021-42287

利用条件：

只需要域用户账号密码

CVE-2020-1472

CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞，影响Windows Server 2008R2至Windows Server 2019的多个版本系统，只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows.

CVE-2022-26923

利用条件：

一个域内普通账号

域内存在证书服务器

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程 网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书 技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码 “工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源 ————————————————

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。