1、利用Windows系统漏洞
匹配可提权漏洞编号,系统是否缺失该补丁。
1、人工查用systeminfo命令 或 wmic qfe get HotFixID 命令获取已经打了的补丁编号。
2、利用Metasploit的enum_patches模块
3、利用Windows Exploit Suggester工具
4、利用PowerShell的Sherlock脚本
5、利用Cobalt Strike3.6及之后版本的elevate命令
2、利用系统服务权限配置漏洞
1、利用PowerShell的PowerUp脚本
2、利用Metasploit的service_permissions模块
3、利用注册表键AlwaysInstallElevated 设置项(漏洞来源Windows Installer特权安装功能)
3、可信任服务路径漏洞
1、利用Trusted Service Paths漏洞,跟windows文件路径解析特性有关(如某系统服务位置C:\Program Files\SysService 解析时会尝试读取C:\Program*,也就是空格前所有符合该格式的项并执行)
2、利用Metasploit的trusted_service_path模块
3、人工查用wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """ 命令查找没有用双引号表示路径且路径存在空格的服务,之后查找这些存在漏洞且可读可写的服务路径,使用恶意程序重命名覆盖后重启服务。