前言

依旧是提权的内容啦，上次讲的是利用漏洞来进行提权，今天我们主要讲的是利用Windows中的服务、进程等东西进行权限提升。

服务启动

首先要知道一点，就是windows中服务是以system权限运行的，假如我们创建一个运行后门的服务，那是不是会以system用户上线呢。

sc是用于与服务控制管理器和服务进行通信的命令行程序。
适用版本：windows 7、10、08、12、16、19、22，早期用at命令
 

sc Create wlw binPath= "C:\Users\31432\Desktop\1.exe"

可以在服务这里看到我们新建的服务。

使用下面的命令运行我们的服务，可以看到是以system的身份上线的。

sc start wlw

但是不知道为啥通讯不了，一直回连不过来。

这边显示服务没有及时响应，这里我是成功创建了服务的，而且路径也没错，我看网上别人都是用Windows server2008来搞的，我这里是Windows10和server2016，不知道是不是版本问题，有知道的师傅还请指点一二。

psexec

我们还可以利用 psexec 这个工具来进行提权，这个工具主要是用来远程命令执行的，执行下面的命令会生成一个System权限的cmd。

psexec.exe -accepteula -s -i -d cmd #调用运行cmd

用这个cmd运行后门就是以System的身份上线的。

进程注入

这个其实和服务启动差不多，在任务管理器这里可以看到有部分进程是SYSTEM用户来进行的，也就是说我们把后门的进程注入到以SYSTEM用户运行的进程中去，实现SYSTEM用户上线CS。

MSF

上线MSF之后找一个以SYSTEM运行的进程ID。

ps

migrate PID //迁移对应PID

CS

CS和MSF的操作是差不多的，首先查看进程。

接着注入进程即可。

inject PID //注入对应PID

图形化

这个更简单，在进程列表这里找到想要注入的进程，然后点击injetc即可。

令牌窃取

令牌是 Windows 内核中用于标识用户身份及权限的数据结构，一个进程的是由某个用户执行的,可以窃取该用户的令牌进行远程过程调用时请求提升权限,然后调用它从而生成特权安全令牌以执行特权操作。当系统允许令牌不仅用于进程本身,还用于原始请求进程时,漏洞就会出现。

MSF

use incognito
list_tokens -u  //看下能窃取的用户
impersonate_token "NT AUTHORITY\SYSTEM"

CS

还是一样，PS查看进程。

我这里把所有SYSTEM的进程都试了，都是窃取不了，不知道为啥。

steal_token PID //窃取进程令牌

窃取成功后，直接上线就行。

spawnu PID //窃取进程令牌上线

图形化

自动化提权

下面这个命令是CS和MSF的自动化提权命令，其实就是把上面的方式自动化搞一遍而已。

getsystem

降权/提权

提权大家都能知道，因为有些操作要高权限才行，那为啥要降权呢？

首先我们要知道 Administrator 它只是本地用户的管理员，也就是说假如我们主机存在域内环境，Administrator用户执行 net user/domain 是看不到当前域内用户的！！！

如果想要查看当前的域内用户，要么就提权到SYSTEM，因为SYSTEM对计算机有着绝对的控制权，还有一个方法就是降权至普通的域用户，这就是降权的意义。

总结

好吧，有些CS的实验没成功，咱也不知道为啥，MSF没问题CS就不行，不管啦。

最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。