windows提权方法一览-泷羽Sec

windows提权方法：

1，SER-TU提权（通过Ser-U管理工具INI配置文件的修改漏洞，当具备配置文件写权限时，植入管理员账户实现权限跨越）

2，RADMIN提权（针对4899端口弱口令扫描结果，利用Radmin客户端连接获取系统控制权限）

3，PCANYWHRER提权（从Pcanywhere客户端目录获取CIF连接文件，解密其中保存的登录凭证实现越权访问）

4，SAM提权（提取系统SAM/SYSTEM缓存文件，通过HASH碰撞破解获取高权限账户密码）

5，NC提权（使用NC监听本地端口，配合远程命令调用创建TELNET连接通道，联合特权模块完成提权）

6，PR提权（上传免杀版PR程序，调用系统服务注入进程内存空间直接修改账户权限组）

7，IIS提权（在IIS 6.0环境中获取配置管理权限，通过应用映射注入添加隐藏管理员账户）

8，43958提权（当SER-TU服务具备脚本执行权限时，直接发送43958端口指令触发系统命令执行）

9，PERL提权（利用PERL目录下的权限缺陷，通过DIR路径跳转执行NET USER命令创建特权用户）

10，内网LCX提权（在目标主机运行LCX监听本地端口，重定向流量至内网3389端口实现隐蔽登录）

11，启动提权（当系统启动项目录具备写入权限时，植入预加载脚本实现服务启动阶段权限获取）

12，替换服务提权（通过修改系统服务对应的执行文件（如Ser-U主程序），等待服务重启后激活隐藏后门）

13，FXP提权（获取FXP传输工具的配置文件后，逆向解析加密字段还原出系统认证密钥）

14，输入法提权（利用输入法加载机制缺陷注入恶意模块，该技术在现代系统中已普遍失效）

15，360提权（触发系统热键处理流程中的权限验证缺陷，通过特定按键组合调出特权终端）

16，VNC提权（当获取VNC服务认证密码后，直接连接5900端口实现系统级控制）

17，2003ODAY提权（针对Windows Server 2003等老版本操作系统，使用专用漏洞利用程序获取权限）

18，ROOT提权（在获取MSSQL管理员权限后，通过注册表操作植入系统命令执行模块）

19，SA密码服务器提权（从网页配置文件（如ASP连接文件）中提取SA账户密码获取数据库控制权)

20，FTP溢出提权(用FTP服务处理机制缺陷触发缓冲区溢出，配合端口重定向工具比如lcx完成权限提升）

21，烂土豆提权（利用MS16-075（CVE-2016-3225）伪造NTLM认证，劫持SYSTEM令牌。）

22、内核提权（利用Windows内核驱动（如clfs.sys、win32k.sys）的内存越界或权限校验缺陷直接获取SYSTEM权限。）

23、win缓冲区溢出提权（利用系统服务或驱动程序的缓冲区溢出漏洞（如spoolsv.exe的CVE-2022-21999），上传精心构造的Shellcode触发栈溢出，直接获取SYSTEM权限执行任意命令。）

24、mysql UDF提权（当获得MySQL的FILE权限后，将恶意DLL（如lib_mysqludf_sys.dll）写入插件目录，通过CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll'创建函数，执行系统命令SELECT sys_eval('net user hacker Pass123 /add')添加管理员。）

25、绕UAC（利用受信任的微软白名单程序（如fodhelper.exe、eventvwr.exe）的COM劫持漏洞，修改注册表HKCU\Software\Classes\CLSID键值注入恶意命令，以管理员权限静默启动CMD窗口。）

26、CVE，例如

#Windows10
CVE-2020-0796 https://www.cnblogs.com/-chenxs/p/12618678.html

#Windows7/2008
CVE-2018-8120 https://www.cnblogs.com/-mo-/p/11404598.html

#Windows7/8、2008/2012/2016
CVE-2017-0213 https://www.cnblogs.com/-mo-/p/11446144.html

#SQL Server、IIS通杀 (针对本地用户的，不能用于域用户)
MS16-075(RottenPotato) https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075