菜鸟渗透日记14---四种方法助力windows本地提权（windows自身漏洞、Psexec、Pinjecter）

一、提权概念

单系统多用户操作的危险: 一破则全破
本地账号存在方式：

• 系统账号之间权限隔离
• 用户空间
• 内核空间

系统账号 ：

• 用户账号登录时候获取权限令牌(开启自动生成,注销’丢掉’)
• 服务账号无需用户登录已在后台启动服务

1.windows 下
本地提权漏洞就是说一个本来非常低权限、受限制的用户，
可以提升到系统至高无上的权限，权限控制是WINDOWS、
Linux等系统安全的基石，也是一切安全软件的基石，一旦
这道门槛被突破，任何防御措施都是无效的。
Windows系统用户权限划分
system：中文意思是系统，在Windows中拥有比管理员更大的权限，在Windows中主要作为系统服务或进程的运行账户，保证系统服务的正常运行；
administrator：中文意思就是“系统管理员”。即所谓的“超级用户”。每台电脑装上系统后，在你自己新建的账户外，会自动新建一个叫administrator 的管理计算机(域)的内置账户，它平时是隐藏的，它是计算机管理员的意思，是拥有计算机管理的最高权限；
user：隶属于users组，这个组的用户无法进行有意或无意的改动，因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序，users组是最安全的组，因为分配给改组的默认权限不允许成员修改操作系统的设置或用户资料；users可以创建本地组，但只能修改自己创建的本地组。users可以关闭工作站，但不能关闭服务器。
admin,system包含所有user的权限
system权限最大,但是有一部分admin权限system没有
提权过程: user -> admin -> system

二、windows提权过程

1. Windows系统下进行提权；
（普通用户—system权限）

1) 查看当前用户：

2) 提权—Psexec
Psexec -i -s cmd；#使用Psexec工具打开system权限的cmd窗口，其中：i表示交互式，s表示system
移动到这个目录下，方便直接打开

会打开一个system权限的命令行

3) 提权使所有cmd命令行窗口都是以system权限打开
前面的操作都是在单个的cmd窗口中打开system权限的窗口，那么如何使在这个桌面上打开的窗口都是system权限的窗口；
在system权限的窗口中打开任务管理器（taskmgr）,然后结束桌面进程，创建一个新的桌面进程（explorer），以后在桌面中打开的cmd窗口都是以system权限运行的；
在系统管理员权限下打开：


重新打开explorer.exe开启桌面发现系统权限变更

打开cmd

4) 采用服务的方式去提权；
采用服务的方式去提权，这是因为所有的服务都会默认以system账号去启动，所以借助这个思路，去创建一个服务（打开cmd的服务），之后启动这个服务，打开的cmd命令行窗口就是以system权限启动的；
sc Create 121cmd binpath= “cmd /k start” type= own type= interact


可以直接图形化方式开启服务；


5) 注入提权进程，隐蔽痕迹-Pinjecter；
5.1查看pinjector中可以选的参数；

5.2查看所有进程ID，找到要注入的进程（system权限的进程）

5.3注入到正常的进程，实现隐藏，在操作系统中没有增加任何新的进程；

5.4在kali中连接注入进程的端口nc 192.168.146.135 4444；