本文仅用于网络安全学习、系统加固研究。严禁用于任何未授权的入侵、破坏活动违法使用将承担相应法律责任。一、开篇为什么提权是Windows攻防的核心环节在真实的网络攻防演练CTF、红蓝对抗、渗透测试中初始入侵往往只能拿到普通用户User权限。此时你就像个“访客”只能操作用户目录下的文件无法修改系统配置更看不到其他用户的数据。而攻击者的终极目标通常是SYSTEM权限本地最高权限可操作内核或域管权限掌控整个内网。提权Privilege Escalation就是连接这两个世界的桥梁。你可能听说过“永恒之蓝”但据实战统计90%的成功入侵并非依赖0day而是利用了配置疏漏。下文我们将通过三大类技术路径结合最新实战案例为你拆解提权的底层逻辑。二、第一类内核级提权一击致命的高危漏洞内核是系统的心脏运行在Ring 0层。一旦内核防线被突破权限隔离机制将彻底失效。1. 实例CVE-2025-33073SMB Client Relay—— 最新的NTLM中继提权这是2025年披露的在野利用漏洞代表了内网渗透的最新趋势。场景还原假设你已拿下一台内网普通PCUserA目标是高价值服务器ServerB。你无法直接爆破密码但可以利用PC的SMB客户端缺陷。利用逻辑Windows SMB客户端在处理特定路径时会错误地使用SYSTEM权限上下文去访问攻击者控制的UNC路径。攻击者诱导高权限进程连接恶意SMB服务器捕获NTLM Hash并进行中继Relay攻击。实操细节使用Impacket套件中的ntlmrelayx.py。在内网搭建恶意SMB服务器 - 触发目标服务器的SMB客户端SYSTEM权限连接 - 中继认证到LDAP或HTTP服务 - 直接创建高权限账户。防御盲区仅禁用SMBv1无效。必须开启SMB签名SMB Signing并强制实施EPAExtended Protection for Authentication。2. 实例PrintNightmareCVE-2021-34527—— 经典的逻辑暴击原理Windows Print Spooler服务在处理驱动安装时存在逻辑缺陷。利用攻击者只需有普通用户权限就能通过RPC调用让服务加载指定的恶意DLL直接以SYSTEM权限执行代码。现状尽管补丁已发多年但在大量未更新的内网机器上依然有效。三、第二类配置类提权90%真实入侵的利用路径这是“脚本小子”逆袭成大佬的必经之路。哪怕系统打了全量补丁配置错了照样被打穿。1. 实例服务权限错误PowerUp.ps1实战—— 渗透测试标配场景还原拿到WebShell权限是iis apppool\defaultapppool无法读取系统文件。利用逻辑Windows服务注册表项HKLM:\SYSTEM\CurrentControlSet\Services\若ACL配置不当普通用户可修改ImagePath指向可执行文件路径。实操细节工具PowerShell脚本PowerUp.ps1。命令# 1. 检测存在漏洞的服务如路径带空格未加引号 Get-ServiceUnquoted # 2. 检测可写的服务路径 Get-ModifiableServiceFile # 3. 直接利用写入恶意命令 Invoke-ServiceAbuse -ServiceName VulnerableSvc -Command net user hacker Pass123! /add防御盲区运维常给C:\Program Files子文件夹赋予“Everyone 写入”权限或未使用引号包裹服务路径。2. 实例令牌劫持Potato家族—— WebShell提权神器场景还原拿到PHP/JSP的WebShell权限是NETWORK SERVICE。利用逻辑该账户拥有SeImpersonatePrivilege模拟权限。攻击者利用DCOM机制诱骗SYSTEM进程向攻击者监听的端口发起NTLM认证捕获Token后“模拟”成SYSTEM。实操细节工具SweetPotato.exe。命令SweetPotato.exe -c cmd.exe /c whoami C:\test.txt。结果test.txt里显示的用户是nt authority\system。防御盲区不要以为把IIS降权就安全了。防御核心是限制SeImpersonatePrivilege的分配范围。3. 实例计划任务与符号链接CVE-2025-21420原理利用Windows SilentCleanup静默清理计划任务。该任务默认以SYSTEM权限运行且会访问某些可被普通用户重定向的路径。利用攻击者创建符号链接Symlink将任务原本访问的临时目录重定向到恶意目录任务触发时即执行恶意代码。四、第三类UAC绕过与逻辑缺陷提权UAC用户账户控制是微软的“最后一道门”。但很多时候这道门只是“虚掩着”。1. 实例fodhelper.exe 绕过 —— 无弹窗的秘密场景还原你是管理员账户但运行cmd时显示“管理员: 否”中等完整性级别。你需要绕过UAC弹窗。利用逻辑fodhelper.exe是系统白名单程序默认可自动提升权限。它通过读取注册表HKCU:\Software\Classes\ms-settings\shell\open\command执行命令。由于HKCU是普通用户可写的我们可以劫持这个路径。实操细节reg add HKCU\Software\Classes\ms-settings\shell\open\command /d cmd.exe /c net localgroup administrators hacker /add /f reg add HKCU\Software\Classes\ms-settings\shell\open\command /v DelegateExecute /t REG_SZ /d /f fodhelper.exe防御盲区UAC默认设置很难拦截这种“合法程序执行非法操作”的绕过。2. 实例BadSuccessor2025 AD域新威胁—— 域控的降维打击场景还原你是普通域用户对某个OU组织单位有“创建对象”的权限。利用逻辑Windows Server 2025引入的dMSA委派托管服务账户​ 存在设计缺陷。攻击者在OU创建dMSA修改其msDS-ManagedAccountToken属性指向域管系统会错误赋予该账户域管权限。防御盲区这是设计逻辑缺陷。防御方法是严格限制普通用户对AD架构中“创建新对象”的权限。五、基础防御思路补丁常态化重点修复内核级漏洞和域内漏洞如CVE-2025-33073、BadSuccessor。最小权限原则服务exe放在仅SYSTEM/管理员可写目录。禁用不必要的服务、计划任务。限制SeImpersonatePrivilege分配。UAC强化组策略设置UAC为“始终要求输入凭据”禁止静默自动提权。基线检查定期用WinPEAS、BeRoot​ 等工具扫描系统配置缺陷。⚠️ 严正警示与法律红线本文所提及的漏洞编号、工具及技术细节均来源于公开的网络安全研究及攻防演练复盘。合法边界请务必在自己搭建的虚拟机环境如VulnHub、HackTheBox或获得书面授权的渗透测试项目中验证这些技术。违法后果未经授权对政府、企业或个人计算机系统进行扫描、入侵、提权违反《中华人民共和国网络安全法》、《刑法》第二百八十五条非法侵入计算机信息系统罪将面临三年以上七年以下有期徒刑。防御价值了解这些实例是为了让运维人员明白“攻击者具体是怎么做的”从而封堵配置疏漏如服务权限、注册表ACL。技术无罪人心有度。请善用技术守护网络安全。