【思路总结】Windows内网提权的十个方向

最新推荐文章于 2025-06-23 13:08:49 发布
原创 最新推荐文章于 2025-06-23 13:08:49 发布 · 619 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全 #网络 #web安全 #信息安全

前言:仅记录思路方向,具体技术细节可遇到后对照深入研究。如果有补充,非常欢迎大家评论、留言。

PART01

利用Windows系统漏洞

匹配可提权漏洞编号,系统是否缺失该补丁。

1人工查用systeminfo命令 或 wmic qfe get HotFixID 命令获取已经打了的补丁编号。
2利用Metasploit的enum_patches模块
3利用Windows Exploit Suggester工具
4利用PowerShell的Sherlock脚本
5利用Cobalt Strike3.6及之后版本的elevate命令

PART02

利用系统服务权限配置漏洞

1利用PowerShell的PowerUp脚本
2利用Metasploit的service_permissions模块
3利用注册表键AlwaysInstallElevated 设置项(漏洞来源Windows Installer特权安装功能)

PART03

利用可信任服务路径漏洞

Trusted Service Paths漏洞,跟windows文件路径解析特性有关。如某系统服务位置C:\Program Files\SysService 解析时会尝试读取C:\Program*,也就是空格前所有符合该格式的项并执行

1利用Metasploit的trusted_service_path模块
2人工查用wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """ 命令查找没有用双引号表示路径且路径存在空格的服务,之后查找这些存在漏洞且可读可写的服务路径,使用恶意程序重命名覆盖后重启服务。
3

PART04

利用自动安装配置文件信息泄露

脚本批量给机器部署环境时遗留的配置文件中,可能存在本地管理员账号密码信息。

如: C:\sysprep.inf C:\Windows\System32\Sysprep\unattend.xml等

1人工收集这些目录,批量判断是否存在
2利用Metasploit的enum_unattend模块

PART05

利用高权限计划任务

检查是否存在高权限账户执行的计划任务。

1可通过 schtasks /query /fo LIST /v 查询当前计算机的计划任务
2发现存在高权限执行的计划任务后记录下任务的路径,后续查找有权限缺陷,可以低权限写入的路径,然后覆盖该计划任务的执行程序。 可以使用AccessChk微软官方提供的检查工具检查这些路径是否存在缺陷。

PART06

Empire自带模块

Empire内置了PowerUp部分模块,可通过输入命令 usemodule privesc/powerup后不回车,按Tab键补全查询powerup下的模块进行使用。

如进行所有检查 :

1usemodule privesc/powerup/allchecks
2execute

进行内置漏洞检查,其包括(以下检查基本都可以通过usemodule privesc/powerup/模块名单独用):

1没有用引号来表示路径的服务路径
2ACL配置错误的服务
3服务可执行文件的权限配置错误
4Unattend.xml 文件扫描
5注册表键 AlwaysInstallElevated检查
6AutoLogon凭证扫描
7加密的web.config字符串和应用程序的密码扫描
8%PATH%.DLL劫持机会检查

PART07

利用组策略首选项漏洞

SYSVOL文件夹中可能保存了本地管理员密码,虽然AES加密了,但是微软公开了密钥。

默认路径:%SystemRoot%\SYSVOL\SYSVOL<domain_name>\Policies

1可以手动翻找这个文件夹下的`{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\Groups.xml`文件
2利用PowerShell,PowerSploit开源项目的Get-GPPPassword.ps1脚本
3利用Metasploit的post/windows/gather/credentials/gpp模块
4利用Empire 执行`usemodule privesc/gpp`

防御:

1、安装KB2962486补丁(也可以反向用来判断是否存在漏洞)

2、设置SYSVOL路径的Everyone访问权限

3、删除SYSVOL下包含密码的XML文件

4、密码存放时注意不存放在所有域用户都可以访问的文件中

5、可以使用LAPS管理域内机器本地管理员密码

PART08

绕过UAC提权

UAC(User Account Control) 用户账户控制,权限控制机制,配置Windows更新、增删改账户、安装卸载应用、文件操作等等都需要经过UAC控制。

1利用meterpreter(Metasploit中的一个杀手锏,通常作为溢出漏洞后的payload使用,payload在触发漏洞后能够返回一个控制通道)的exploit/windows/local/bypassuac模块(利用成功需要一些条件:当前会话的用户必须在管理员组中,UAC等级为默认选项“仅在程序时图更改我的计算机时通知我”时)
2利用meterpreter的exploit/windows/local/ask模块(RunAs模块)(需要在后续的弹窗询问中确认才可以提权,因此需要当前回话的用户需要在管理组中或知道管理员账号密码)
3利用Nishang中的Invoke-PsUACme模块
4利用Empire的bypassuac模块 命令: usemodule privesc/bypassuac
5Windows 7且未打补丁情况下,可利用Empire 的bypassuac_wscript模块 命令:usemodule privesc/bypassuac_wscript

防御:

1、不给用户本地管理员权限,以普通用户权限操作计算机。

2、以本地管理员权限登录的,设置UAC为最严格模式“始终通知”。

PART09

令牌窃取提权

令牌为系统的临时密钥,类似于登录一个Web后的session,来代表当前登录的用户身份,认证机制为Kerberos协议。

1通过Rotten Potato程序提权,首先使用meterpreter的use incognito命令后输入list_tokens -u 获取可用令牌列表,github下载Rotten Potato程序上传到目标机器,执行execute -HC -f rottenpotato.exe。使用impersonate_token "NT AUTHORITY\SYSTEM"命令仿冒系统权限。
2网络中存在域管理进程,可通过meterpreter的migrate迁移到该进程,之后执行命令添加域管理员(添加域账号:net user username password /ad /domain 添加到域管理员组:net group "domain admins" username /ad /domain)
3meterpreter通过incognito模拟域管理员,会话中执行 添加域账号: add_user username password -h 域控ip  。添加到域管理员组:add_group_user "Domain Admins" username -h 域控ip
4利用Empire内置的的mimikatz查看系统密码,查到可用的令牌后,通过pth 列出可用的CredID 来进行令牌窃取。或使用ps查找运行中的域用户进程ID进行窃取。

防御:

1、及时更新微软安全补丁

PART10

无身份凭证获取权限

适用条件:当内网主备DNS服务器均不可用的情况。

当主备DNS服务器均不可用时,内网会使用LLMNR和NetBIOS进行主机名和IP解析等操作,利用Responder(内置大量协议和应用服务器)进行收集内网计算机凭证。

2023全套渗透测试教程点击获取

内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 2313
内网环境下的横向移动总结
基于网络安全下 第一章Windows内网服务模块
weixin_57062234的博客
10-02 2827
解析工作中,常见的项目如下:我们先朝着职业晋升,中间的一个目标——项目经理努力,在整个国护项目中,项目经理需要带着团队完成以下内容,包含了行业内80%左右的安全项目,每一项单独拿出来都可以称为对客户进行服务的一个项目前期不管做什么项目,都需要进行客户交流,偏售前的这样一个,目的:得到客户的安全需求,把需求变为可以实施并落地的项目并挖掘其他项目线索资产梳理:目的:解决当前单位内部和供应商,所有的资产列表清晰,没有边缘资产,形成台账,准备迎接上级部门或者领导单位来检查,缩小被供给面。
windows10
qq_54030686的博客
11-15 3108
即可查看到,这里目标是以Administartor限测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator限,值得注意的是该限并不是管理员组中的其他用户。发现该文件以system限运行,而我们拥有对该文件的修改限,修改daclsve服务的具体执行文件,从而获取system限。
win10
qq56hm的博客
12-08 910
我的电脑->管理->本地用户和组->左键单击自己的用户名称->属性->隶属于->添加->输入电脑名称/System Managed Accounts Group->重启电脑
Win10简单入门
ailx10
06-23 333
本文介绍了利用Metasploit框架进行Windows 10的实验过程。首先通过生成恶意载荷获取普通用户限,随后使用local_exploit_suggester模块检测可用漏洞。重点演示了bypassuac_fodhelper漏洞的利用方法,通过简单配置成功将普通升至SYSTEM限。实验证明,在关闭杀毒防护的情况下,Windows操作相对简单。需要注意的是,该技术仅适用于安全研究和合法授场景。
常见的Windows方法
weixin_48968378的博客
12-14 4046
目录 1、无引号路径(Trusted Service Paths) 2、易受到攻击的服务(Vulnerable Services) 3、AlwaysInstallElevated(始终安装高架) 4、信息泄露 5、基于资源的域约束性委派利用 6、POTATO家族 7、MySQL下的技术 MOF UDF 启动项 8、命令管道 9、令牌窃取 10、常见WindowsCVE 1、无引号路径(Trusted Service Paths) 原理:利用.
win10CVE-2021-1732
Shanfenglan's blog
03-11 3973
文章目录前言利用过程 前言 无意中看见的,收藏一下 利用过程 利用exp:https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe 使用方法: cve-2021-1732.exe "whoami"
内网渗透思路探索之新思路的探索与验证 作者:未知.pdf
04-08
然而,面对新型的扁平化内网结构,即由多台Mac、Linux和Windows个人电脑组成的混合型内网,传统的渗透技术难以奏效。鉴于此,《内网渗透思路探索之新思路的探索与验证》一文出了针对此类特殊网络结构的新渗透策略...
一次模拟Windows挖矿病毒应急响应的流程及思路
m0_60870041的博客
03-18 1730
大胆狂徒!竟敢用我的RTX-5090挖矿?
内网环境下的横向移动总结
hongduilanjun的博客
07-21 3024
前言在内网渗透中,当攻击者获取到内网某台机器的控制后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。横向移动,是攻击者侵入企业系统时,获取相关限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。...
解决win10问题,一键,方便
07-26
希望能帮助大家,大家可以试试,我就是这么解决的,很方便
windows
qq_38675102的博客
12-31 2647
windwos自学笔记-保持更新
红蓝对抗之win10
qq_37561898的博客
07-04 2307
windows10 升 bypass uac Dll劫持
Windows
m0_49657647的博客
10-02 3484
windows服务是以system限运行的,其文件夹、文件和注册表key-value都是受强制访问控制保护的。但是在某些情况下,操作系统中依然存在一些没有得到有效保护的服务。
从任意文件下载漏洞到拿下多台内网服务器
nini_boom的博客
07-01 1264
文章涉密部分,会进行大量打码,敬请谅解 一、从一个任意文件下载漏洞说起 客户内网系统中有一个系统上线前例行安全检测。 我接到单子之后开始整活~ 打开系统,首先看看有没有上传点,兴冲冲找了一圈,失望而归。不过好歹有一个文件下载的地方,抓个包看看情况。 看到fileUrl后跟的地址,觉得有比较大的可能存在任意文件读取,于是碰一碰运气。 果其不然,这里可以读取到服务器任意的文件。 按照道理来说,这时我应该再挖一个低危交差。但是想到前段时间公司大神分享的案例,觉得这个漏洞还有得玩,于是从这个点开始深入。 二.
win10计算机管理限,win10如何获取管理员限?win10获取最高限的方法
weixin_29359133的博客
07-09 3586
我们在使用win10系统的时候,是否有遇到过限不足的时候呢?这时候就需要我们获取win10用户最高限,想必大家不知道怎么给自己的电脑,今天小编就来教大家如何获取win10用户最高限,希望可以帮助到大家很多朋友都遇到过打开或者删除文件的时候需要管理员限,那我们要如何获取win10系统的最高限呢?其实方法是非常简单的,接下来小编就会向大家来介绍一下win10获取最高限的具体操作方法...
win10注入漏洞跳出计算机,win10操作系统本地漏洞
weixin_27283495的博客
07-28 1221
2018年8月27日,安全研究人员在github上公布了最新的win10x64版的本地漏洞,并且在推特上对其的demo进行了演示。在github上的SandboxEscaper上有着完整的漏洞利用程序以及demo,并且被其他安全研究专家证实该漏洞可以在最近的win10上复现。### 千里百科Windows 10是Microsoft生产的一系列个人计算机操作系统,是Windows NT系列操...
winr8文件服务器,技术讨论 | Windows全版本之Win10系列解析
weixin_28869649的博客
08-05 428
原标题:技术讨论 | Windows全版本之Win10系列解析一、 背景介绍2018 年 8 月 27 日,境外安全研究人员 SandboxEscaper 在其个人主页上披露了影响 Windows 10 及Windows Server 2016系统的一个安全漏洞。根据描述,该漏洞存在于Windows的计划任务调度服务中,利用该漏洞攻击者可以从USER升至SYSTEM限。天融信阿尔法实验室第...
windows内网本地用户
qq_49714982的博客
04-09 855
1.有当前计算机的web限,建立在web限取得的情况下进行的升2.符合的操作系统3.符合的溢出漏洞。
如何自动批量下载多个 Windows Server 补丁?
最新发布
07-16
<think>嗯,用户询问的是如何自动批量下载Windows Server补丁的问题。从引用内容来看,用户之前已经了解过手动离线更新的流程,现在希望升效率实现自动化。用户可能是企业IT管理员或运维工程师,管理着大量无法联网的Windows服务器,需要安全高效的解决方案。 用户供的引用材料很有价值:引用1到局域网环境下手动打补丁的困难,引用2展示了WebLogic自动化打补丁的脚本思路,引用4给出了Windows批处理范例,引用5则供了Linux下载工具的参考。这些线索都指向自动化工具开发方向。 核心需求其实很明确:需要能根据补丁列表自动下载所有msu文件的工具。考虑到Windows环境的特性,解决方案应该优先考虑PowerShell和Python这两种跨平台支持良好的语言。特别要注意的是,引用4中展示的批处理文件操作范例虽然简单,但面对补丁下载这种需要解析网页的需求就显得力不从心了。 在技术实现上,重点需要解决三个难点:一是如何从微软更新目录获取准确的下载链接,这个网站反爬虫机制较强;二是如何处理多版本兼容性,比如同时下载Server 2016和2019的补丁;三是下载失败的重试机制。引用2到的WebLogic自动化方案中重试逻辑就很有参考价值。 安全方面要特别注意:脚本中存储的密码需要加密(引用3到密码存储问题),下载的补丁包必须验证哈希值。引用5到的wget工具在Windows版中也有校验功能,这点可以整合进方案。 用户可能还会关心后续的自动化安装,虽然当前问题只涉及下载环节。所以在最后的相关问题里,我特意加入了批量安装的延伸问题,这样能形成完整的运维闭环。考虑到用户环境是内网服务器,所有方案都必须支持纯离线操作。</think>以下是基于微软官方工具和脚本实现**自动批量下载多个 Windows Server 安全补丁**的完整方案,结合引用内容优化操作流程: --- ### 一、核心工具:PowerShell + Microsoft Update Catalog API #### 步骤 1:准备补丁列表 1. 获取需下载的补丁 KB 编号(如 `KB5003197, KB4521858`) - 通过 [Microsoft 安全更新指南](https://msrc.microsoft.com/update-guide) 查询最新补丁 - 或直接使用预定义列表:`$kbList = "KB5003197", "KB4521858"` #### 步骤 2:编写 PowerShell 自动下载脚本 ```powershell # 保存为 Download-WindowsUpdates.ps1 $kbList = @("KB5003197", "KB4521858") # 替换为实际补丁编号 $savePath = "C:\Updates" # 保存目录 $osVersion = "Windows Server 2016" # 替换为你的系统版本 $arch = "x64" # 架构:x86 或 x64 # 创建目录 New-Item -ItemType Directory -Path $savePath -Force | Out-Null # 通过 Microsoft Update Catalog API 搜索下载 foreach ($kb in $kbList) { $searchUrl = "https://www.catalog.update.microsoft.com/Search.aspx?q=$kb+$osVersion+$arch" $result = Invoke-WebRequest -Uri $searchUrl -UseBasicParsing # 解析下载链接(匹配唯一ID) $downloadLink = $result.Links | Where-Object { $_.outerHTML -match "downloadInformation.*id='([^']+)'" } | ForEach-Object { $matches[1] } | Select-Object -First 1 if ($downloadLink) { $downloadUrl = "https://www.catalog.update.microsoft.com/DownloadDialog.aspx?updateID=$downloadLink" $postData = @{ size = 0; updateID = $downloadLink; uidInfo = $downloadLink } $response = Invoke-WebRequest -Uri $downloadUrl -Method Post -Body $postData -UseBasicParsing # 取直接下载链接 $directUrl = $response.Content -split "`n" | Where-Object { $_ -match 'https?://[^"]+\.msu' } | Select-Object -First 1 # 下载文件 if ($directUrl) { $fileName = $directUrl.Split('/')[-1] Write-Host "下载中: $fileName" Invoke-WebRequest -Uri $directUrl -OutFile "$savePath\$fileName" } } else { Write-Warning "未找到补丁: $kb" } } Write-Host "所有补丁已下载到: $savePath" ``` #### 步骤 3:运行脚本 ```powershell Set-ExecutionPolicy Bypass -Scope Process -Force # 临时允许脚本执行 .\Download-WindowsUpdates.ps1 ``` > **注意**:首次运行需安装 NuGet 包(按示输入 `Y` 确认) --- ### 二、替代方案:使用官方工具 WSUS Offline Update 若需下载**整个补丁集**(如所有安全更新),推荐工具: 1. **下载工具**:[WSUS Offline Update](https://download.wsusoffline.net/) 2. **操作流程**: ```powershell # 1. 下载并解压工具包 # 2. 生成下载列表(管理员运行cmd): UpdateGenerator.exe /products:Server2019 /arch:x64 /download # 3. 补丁将自动下载到 \client\wsus\ 目录 ``` --- ### 三、批量下载技巧 | 场景 | 解决方案 | 引用依据 | |------|----------|----------| | 多服务器版本混合 | 在脚本中循环处理不同 `$osVersion` | [引用4]任务调度逻辑 | | 定期自动更新 | 结合 Windows 任务计划每月运行脚本 | [引用4]Cron配置思路 | | 下载失败重试 | 在 `Invoke-WebRequest` 后添加 `-RetryIntervalSec 5 -MaximumRetryCount 3` | [引用2]自动化重试机制 | --- ### 四、验证与安全 1. **文件校验**: ```powershell Get-FileHash C:\Updates\*.msu -Algorithm SHA256 ``` 对比 [Microsoft 更新目录](https://www.catalog.update.microsoft.com/) 中的 SHA256 值 2. **日志检查**: ```powershell Get-WindowsUpdateLog -LogPath C:\UpdateLog.txt # 生成安装前日志 ``` --- ### 总结 通过 PowerShell 脚本调用 Microsoft Update Catalog API,可精准批量下载指定补丁,适用于 **Windows Server 2008-2022** 全系版本。关键优势: 1. **无需第三方工具**:直接使用系统内置 PowerShell 2. **精确控制**:按需下载特定 KB 补丁 3. **可扩展性**:结合任务计划实现全自动更新(引用4) > **注意**:若需下载超大型补丁集(如所有历史更新),建议使用 WSUS Offline Update 工具避免频繁请求限制[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值