windows系统提权的简单介绍

WINDOWS系统DOS下建立用户和提权的命令是多少？

@

创新互联专注于企业营销型网站、网站重做改版、铁山网站定制设计、自适应品牌网站建设、H5网站设计、商城网站建设、集团公司官网建设、外贸网站制作、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为铁山等各大城市提供网站开发制作服务。

\\隐藏命令的回显。

~

\\在for中表示使用增强的变量扩展；

在set中表示使用扩展环境变量指定位置的字符串；

在set/a中表示按位取反。

%

\\使用两个%包含一个字符串表示引用环境变量。比如一个%time%可以扩展到当前的系统时间;

单个%紧跟0-9的一个数字表示引用命令行参数；

用于for中表示引用循环变量；

连续的两个%表示执行时脱为一个%。

^

\\取消转义字符，即将所有转义字符的转义作用关闭。比如要在屏幕显示一些特殊的字符,比如 | ^等时,就可以在其前面加一个^符号来显示这个^后面的字符了,^^就是显示一个^,^|就是显示一个|字符了;

在set/a中是按位异；

在findstr/r的[]中表示不匹配指定的字符集。

\\命令连接字符。比如我要在一行文本上同时执行两个命令,就可以用命令连接这两个命令；

在set/a中是按位与。

*

\\代表任意个任意字符,就是我们通常所说的"通配符";比如想在c盘的根目录查找c盘根目录里所有的文本文件(.txt),那么就可以输入命令"dir c:\*.txt"；

在set/a中是乘法。比如"set/a x=4*2",得到的结果是8；

在findstr/r中表示将前一个字符多次匹配。

()

\\命令包含或者是具有优先权的界定符吧,比如for命令要用到这个(),我们还可以在if,echo等命令中见到它的身影；

-

\\范围表示符,比如日期的查找,for命令里的tokens操作中就可以用到这个字符；

在findstr/r中连接两个字符表示匹配范围；

-跟在某些命令的/后表示取反向的开关。

+

\\主要是在copy命令里面会用到它,表示将很多个文件合并为一个文件,就要用到这个+字符了；

在set/a中是加法。

|

\\管道符。就是将上一个命令的输出,作为下一个命令的输入."dir /a/b | more"就可以逐屏的显示dir命令所输出的信息;

在set/a中是按位或；

在帮助文档中表示其前后两个开关、选项或参数是二选一的。

:

\\标签定位符,可以接受goto命令所指向的标签。比如在批处理文件里面定义了一个":begin"标签,用"goto begin"命令就可以转到":begin"变迁后面来执行批处理命令了。

" "

\\界定符,在表示带有空格的路径时常要用""来将路径括起来,在一些命令里面也需要" "符号；

在for/f中将表示它们包含的内容当作字符串分析；

在for/f "usebackq"表示它们包含的内容当作文件路径并分析其文件的内容；

在其它情况下表示其中的内容是一个完整的字符串，其中的、、、、|、空格等不再转义。

/

\\表示其后的字符（串）是命令的功能开关（选项）。比如"dir /s/b/a-d"表示"dir"命令指定的不同的参数；

在set/a中表示除法。

\\命令重定向符,将其前面的命令的输出结果重新定向到其后面的设备中去，后面的设备中的内容被覆盖。比如可以用"dir lxmxn.txt"将"dir"命令的结果输出到"lxmxn.txt"这个文本文件中去；

在findstr/r中表示匹配单词的右边界，需要配合转义字符\使用。

\\命令重定向符。将其前面的命令的输出结果重新定向到其后面的设备中去，后面设备中的内容没有被覆盖。

\\将其后面的文件的内容作为其前面命令的输入。

在findstr/r中表示匹配单词的左边界，需要配合转义字符\使用。

=

\\赋值符号,用于变量的赋值。比如"set a=windows"的意思意思是将"windows"这个字符串赋给变量"a"；

在set/a中表示算术运算,比如"set /a x=5-6*5"。

\

\\这个"\"符号在有的情况下,代表的是当前路径的根目录.比如当前目录在c:\windows\system32下,那么你"dir \"的话,就相当与"dir c:\"

在findstr/r中表示正则转义字符。

''

在for/f中表示将它们包含的内容当作命令行执行并分析其输出；

在for/f "usebackq"中表示将它们包含的字符串当作字符串分析。

.

\\

在路径的\后紧跟或者单独出现时：

一个.表示当前目录；

两个.表示上一级目录；

在路径中的文件名中出现时：

最后的一个.表示主文件名与扩展文件名的分隔。

\\连接两个命令,当前的命令成功时,才执行后的命令；

||

\\连接两个命令,当||前的命令失败时,才执行||后的命令。

$

\\在findstr命令里面表示一行的结束。

``

在for/f中表示它们所包含的内容当作命令行执行并分析它的输出。

[]

在帮助文档表示其中的开关、选项或参数是可选的；

在findstr/r中表示按其中指定的字符集匹配。

?

\\在findstr/r中表示在此位置匹配一个任意字符；

?在路径中表示在此位置通配任意一个字符；

紧跟在/后表示获取命令的帮助文档。

!

\\当启用变量延迟时,使用!!将变量名扩起来表示对变量值的引用；

在set /a中表示逻辑非。比如set /a a=!0,这时a就表示逻辑1

实战ms16-075提权Windows Server 2012

大多数碰到的都是Serverv 2008，这次遇到Server 2012来学习一下提权。网上有相关的文章。但，实践才是真理不是吗？

在通过文件上传webshell之后开始提权。

先收集一下信息

信息为：IIS权限、无杀毒、内网（能上外网）、内网开放3389

选择使用上传msf马来反弹shell。

参考我之前的一篇文章

geshell后的进一步利用

上传msf马直接反弹。

选择Windows-Exploit-Suggeste提权辅助工具

Windows-Exploit-Suggeste

命令很简单

可以看到可能存在ms16-075漏洞。试试吧

上传ms16-075邪恶土豆potato.exe至靶机

果然没有杀毒就是爽

激活guest用户

mimikatz读取hash时，无法以明文显示。

后翻看资料才知道Server 2012

默认情况下是禁用了在内存缓存中存储系统用户明文密码，此时使用mimikatz去抓取密码，会显示null。

抓取windows server 2012明文密码

只会修改注册表等待管理员重启啦

WINDOWS 7 怎样完全提权???

新建一个文本文档 复制以下内容到新建的文档中

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\runas]

@="获取管理员权限"

"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\*\shell\runas\command]

@="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"

"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\exefile\shell\runas2]

@="获取管理员权限"

"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]

@="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"

"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]

@="获取管理员权限"

"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\Directory\shell\runas\command]

@="cmd.exe /c takeown /f \"%1\" /r /d y icacls \"%1\" /grant administrators:F /t"

"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y icacls \"%1\" /grant administrators:F /t"

现在关闭此文档 并且文件名保存为 提权.reg

现在打开刚才做好的文件 点击确定导入注册表

在需要提权的文件上点击右键 会有一个获取管理员权限选项 点击一个黑框闪过

你就提权了。。。。如果是一个目录黑框会多显示一会 待它自动关闭即可

Windows下的几种提权方式的粗略汇总

所以查找到有缺陷的服务，在可写的路径下插入后门，重启服务即可提权。

powerup.五.通过office漏洞拿到win10的shell，先过uac，然后直接就可以导入system的令牌，瞬间获得system权限。

windows靶场提权总结

最近做了几个i春秋的靶场，从getshell到提权，练习的还是很全面的，这里主要对提权做个总结。

先从提权反推一下思路： 提权 - 上传提权工具 - 找上传点 - 连接菜刀getshell - 写入或上传一句话 - 找到写入点或上传点

一句话的写入点或上传点大多都是在管理后台发现的，因为用户的权限较低，可以操作的功能也较少，而且对于用户的输入或上传也有很严格的过滤机制，所以使用用户权限来写入或上传一句话的成功率很低。

那么就需要登录管理后台来写入或上传一句话，登录管理后台有两个条件： ①找到管理后台 。 ②拿到管理员账号和密码 （爆破也可以，但是成功率很低，这里就不多做讨论了）。登录进管理员后台后，就可以测试哪个地方可以利用，可以上传或写入一句话了。然后就是上面的一系列操作，最后拿到flag。

拿我做的这几个靶场为例，首先打开浏览器看到页面，发现都是一些CMS，从页面信息可以知道CMS版本等信息，然后信息搜集看看这个版本之前有没有爆出过漏洞，如果有SQL注入最好，可以尝试通过注入拿到管理员账号、密码。当然也可以使用其他的方法，怎么猥琐怎么来。

然后扫描目录，如果管理员没有修改CMS的默认目录的话，管理后台还是很好扫出来的，如果修改过就比较困难了，就看你的字典强不强大了。当然也可以利用一些其他方法，比如信息泄露，如果是dedeCMS的话可以尝试访问 /data/mysqli_error_trace.inc 路径或 /data/mysql_error_trace.inc 路径，有可能会爆出后台路径。

拿到账号密码和管理后台路径后就可以登录后台了，然后寻找哪个地方可以执行一句话，比如上传图片马然后利用文件包含或解析漏洞执行一句话，或者试一下发表文章功能，试一下网站配置信息。反正姿势越猥琐越好。

拿到一句话的路径后可以连菜刀了，连上菜刀后由于权限问题，C盘一般是没有读写权限的，而大多数flag都放在C盘，所以我们就要找一个有上传文件权限的目录上传提权工具进行提权，这里着重总结两种提权方法。

利用 CVE-2009-0079 的漏洞，工具： Churrasco.exe + cmd.exe + 3389.bat ，其中 cmd.exe 是为了代替原服务器中权限受限的命令行交互环境，Churrasco.exe 是用于提权的漏洞利用工具，3389.bat 是打开 3389 端口及远程桌面服务的批处理脚本文件。

提权命令：

同样是利用 CVE-2009-0079 的漏洞，工具： pr.exe + cmd.exe + 3389.bat ，与churrasco类似，命令和churrasco提权命令一样，不过第一次输入命令会报错，再输入一遍就好了。

iis.exe 与前两者不同，是基于 CVE-2009-1535 漏洞的提权工具，工具： iis6.exe + cmd.exe + 3389.bat ，用法与前两种工具类似，第一次创建用户时也可能会报错，若创建失败，再次执行即可。

现在提权已经完成了，打开CMD输入 mstsc 启动远程桌面登录，输入目标ip和刚才创建的用户的登录账号密码就可以远程访问服务器了，然后进入C盘拿到flag即可。

参考链接：

【i春秋】渗透测试入门 —— 我很简单，请不要欺负我

【Windows】自带提权的bat脚本

Windows下的开发不可避免的会用到bat脚本来做一些重复的工作，尤其是需要注册的插件dll这块。现在大家的开发机一般都是win7或win10，为了和用户环境比较一致，一般都不会关掉UAC的功能。

双击bat脚本执行自动注册或自动运行服务会很方便开发，但是在vista以上的系统经常需要以管理员权限来启动这个脚本，一般都是右键选择管理员权限运行，要是分发给其他人员测试的时候还要特地叮嘱下，要是bat能实现自动检测需要管理员权限，然后弹出这个提权的申请框，在提权完成之后再进行工作就好了。

抱着这个需求，找到了stackoverflow，果然不负众望，有人给出了一个 解决方案 ，这里把这个bat脚本贴出来，给有需要的人士。