thevirtueye/Windows-Privilege-Escalation
GitHub: thevirtueye/Windows-Privilege-Escalation
一套系统化的Windows本地提权技术研究项目,详尽演示了四种典型配置缺陷的枚举方法、完整利用链与缓解策略。
Stars: 0 | Forks: 0
# Windows 提权 —— 漏洞、攻击技术与利用案例
## 项目视频
[](https://www.youtube.com/watch?v=DnsdxOTAy5k)
**[点击此处前往 YouTube 观看完整视频](https://www.youtube.com/watch?v=DnsdxOTAy5k)**
## 项目概述
本项目探讨了四种不同的 **Windows 提权** 技术,每项技术均附有一份完整的书面报告,涵盖了完整的攻击生命周期:**前置条件与环境设置**、对漏洞条件进行**手动枚举**、通过**实战利用**获取 SYSTEM 级别访问权限,以及用于防御的**缓解措施与对策**。
整个基础设施是在使用 **VMware Workstation** 的受控虚拟实验环境中构建的。随附的**视频演示**重点展示了 **SeBackupPrivilege** 技术,演练了从枚举到通过 Pass-the-Hash 获取 SYSTEM 级别访问权限的全过程。所有四种技术在项目报告中均有详细记录。
分析的四种技术包括:
1. **AlwaysInstallElevated** —— 滥用 Windows Installer 策略以绕过 UAC,并利用提升的权限执行恶意 MSI 包。
2. **SeImpersonatePrivilege** —— 利用模拟特权配合 GodPotato,从标准用户提权至 NT AUTHORITY\SYSTEM。
3. **SeBackupPrivilege** —— 提取 SAM 和 SYSTEM 注册表配置单元以获取 NTLM 哈希,并执行 Pass-the-Hash 身份验证。*(视频演示)*
4. **Weak Service Permissions** —— 利用配置错误的服务 ACL 将服务的二进制路径重定向到恶意 Payload。
## 实验环境
| 计算机 | 操作系统 | 角色 |
|----------------|-----------------|-------------------|
| Attacker | Kali Linux | Payload 生成、监听器、远程攻击 |
| Victim | Windows 11 Pro | 存在策略/服务配置错误的目标系统 |
## 技术摘要
### AlwaysInstallElevated
| 阶段 | 描述 |
|----------------|-------------|
| **漏洞** | “始终以提升的权限安装”组策略在计算机配置和用户配置中均已启用,允许任何用户以 SYSTEM 权限运行 MSI 包 |
| **枚举** | 对 `HKLM` 和 `HKCU` 的注册表查询确认 `AlwaysInstallElevated = 0x1` |
| **利用** | 使用 `msfvenom` 生成恶意 MSI(反向 Shell),通过 Netcat 传输,并使用 `msiexec /quiet /qn /i` 静默执行 —— 从而获得 SYSTEM Shell |
| **关键概念** | UAC 绕过、强制完整性控制 (MIC) 级别 (Low/Medium/High/System)、Windows Installer (msiexec.exe) |
### SeImpersonatePrivilege
| 阶段 | 描述 |
|----------------|-------------|
| **漏洞** | `SeImpersonatePrivilege` 权限通过本地安全策略分配给了标准用户,允许令牌模拟 |
| **枚举** | 通过远程 Netcat Shell 执行 `whoami /priv` 确认该权限已启用 |
| **利用** | GodPotato-NET4 强制进行特权 DCOM 身份验证,捕获 SYSTEM 令牌,并生成一个作为 NT AUTHORITY\SYSTEM 的反向 Shell |
| **关键概念** | 访问令牌、模拟级别、Potato 系列漏洞利用、.NET Framework 版本检测 |
### SeBackupPrivilege
| 阶段 | 描述 |
|----------------|-------------|
| **漏洞** | `SeBackupPrivilege` 被授予标准用户,使其能够绕过 ACL 读取系统上的任何文件 |
| **枚举** | Evil-WinRM 会话 + SharpUp `audit TokenPrivileges` 确认该权限可被滥用 |
| **利用** | 通过 `reg save` 导出 SAM 和 SYSTEM 配置单元,传输至 Kali,并使用 `impacket-secretsdump` 处理以提取 NTLM 哈希。Administrator 哈希被用于通过 Evil-WinRM 进行 Pass-the-Hash 身份验证 |
| **关键概念** | 注册表配置单元 (SAM/SYSTEM)、启动密钥 / syskey、NTLM 哈希、Pass-the-Hash、WinRM 远程 |
### 弱服务权限
| 阶段 | 描述 |
|----------------|-------------|
| **漏洞** | 一个自定义 Windows 服务拥有过于宽松的 ACL —— `BUILTIN\Users` 被授予了服务属性的写入权限 (DCRPWP),允许修改二进制路径 |
| **枚举** | SharpUp `audit ModifiableServices` 识别出当前标准用户可修改该易受攻击的服务 |
| **利用** | 服务的 `binPath` 通过 `sc config` 被重定向到一个反向 Shell Payload (`sys.exe`)。当服务启动(以 LocalSystem 运行)时,Payload 以 SYSTEM 权限执行 |
| **关键概念** | 服务 ACL (SDDL/DACL)、服务控制管理器、binPath 劫持、AUTO_START 持久化 |
## 攻击流程图
```
┌─────────────────────────────────────────────────────────────────┐
│ STANDARD USER (Medium Integrity) │
├─────────────┬───────────────┬──────────────┬────────────────────┤
│ AlwaysInst. │ SeImpersonate │ SeBackup │ Weak Svc Perms │
│ Elevated │ Privilege │ Privilege │ │
├─────────────┼───────────────┼──────────────┼────────────────────┤
│ msfvenom │ GodPotato │ reg save │ sc config binPath │
│ MSI payload │ token capture │ SAM+SYSTEM │ → malicious exe │
│ msiexec /qn │ → SYSTEM │ secretsdump │ sc start service │
│ │ shell │ Pass-the-Hash│ │
├─────────────┴───────────────┴──────────────┴────────────────────┤
│ NT AUTHORITY\SYSTEM (System Integrity) │
└─────────────────────────────────────────────────────────────────┘
```
## 缓解措施概述
| 技术 | 主要缓解措施 |
|------------------------|--------------------|
| AlwaysInstallElevated | 通过 `gpedit.msc` 或 GPO 在计算机配置和用户配置中禁用该策略;将 UAC 保持在最高级别 |
| SeImpersonatePrivilege | 将权限分配限制为仅必要的本地服务账户;加固服务并减少攻击面 |
| SeBackupPrivilege | 移除非管理用户的该权限;如不需要则禁用 WinRM;缓解 Pass-the-Hash 攻击 |
| Weak Service Permissions | 修正服务 ACL 以拒绝非管理员组的写入权限;以最低权限账户运行服务 |
**通用建议:**
- 对所有用户账户、服务和策略应用 **最小权限原则**
- 启用 **审计日志** (Event Viewer, Sysmon) 以记录权限使用、服务配置更改和进程创建
- 部署 **EDR/SIEM** 解决方案以实时检测异常的权限提升模式
- 定期审计服务配置和用户权限分配
## 文档
| 资源 | 描述 | 格式 |
|----------|-------------|--------|
| **[项目报告](./Privilege_Escalation_en.pdf)** | 涵盖所有四种技术的完整书面报告,包含详细解释、截图、命令和缓解措施 | PDF (60 页) |
| **[视频演示](https://www.youtube.com/watch?v=DnsdxOTAy5k)** | SeBackupPrivilege 技术的实操演示 | YouTube |
## 使用的技术
- [Kali Linux](https://www.kali.org/) (攻击平台)
- [msfvenom](https://www.metasploit.com/) (Payload 生成)
- [Netcat (nc)](https://nmap.org/ncat/) (文件传输和反向 Shell)
- [GodPotato](https://github.com/BeichenDream/GodPotato) (SeImpersonatePrivilege 利用)
- [Evil-WinRM](https://github.com/Hackplayers/evil-winrm) (WinRM 远程 Shell)
- [SharpUp](https://github.com/GhostPack/SharpUp) (提权审计)
- [Impacket](https://github.com/fortra/impacket) (用于 NTLM 哈希提取的 secretsdump)
- [Carbon PowerShell Module](https://www.powershellgallery.com/packages/Carbon) (权限分配)
- VMware Workstation (虚拟化平台)
- Windows 11 Pro (受害者环境)
## 许可证
- **代码和 README**:根据 [MIT License](./LICENSE) 发布 —— 可注明出处后免费用于教育和研究目的。
- **项目报告 (PDF)**:根据 [Creative Commons BY-NC-ND 4.0](https://creativecommons.org/licenses/by-nc-nd/4.0/) 发布 —— 您可以注明出处后分享本文档,但不得修改或用于商业目的。
## 作者与联系方式
由 **Alberto Cirillo** 创建 — 2026
标签:ACL配置错误, AI合规, AlwaysInstallElevated, API接口, CSV导出, GodPotato, Modbus, NTLM哈希, Pass-the-Hash, SeBackupPrivilege, SeImpersonatePrivilege, SYSTEM权限, UAC绕过, VMware Workstation, Web报告查看器, Windows提权, 协议分析, 弱服务权限, 攻击复现, 数据展示, 本地提权, 权限提升, 权限滥用, 注册表劫持, 红队, 网络安全, 防御缓解, 隐私保护