一、win2012—烂土豆配合令牌窃取提权—web权限

1.1 RottenPotato（烂土豆）提权的原理

1.欺骗 “NT AUTHORITYSYSTEM”账户通过NTLM认证到我们控制的TCP终端。
2.对这个认证过程使用中间人攻击（NTLM重放），为“NT AUTHORITYSYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户（IIS、MSSQL等）有这个权限，大多数用户级的账户没有这个权限。
所以，一般从web拿到的webshell都是IIS服务器权限，是具有这个模仿权限的。测试过程中，我发现使用已经建好的账户（就是上面说的用户级账户）去反弹meterpreter然后再去执行EXP的时候会失败，但使用菜刀（IIS服务器权限）反弹meterpreter就会成功。即非服务类用户权限无法窃取成功。

单纯令牌窃取： 适用于web权限或本地提权
如配合烂土豆提权： 适用于web或数据库等权限

烂土豆比热土豆的优点是：

1.100%可靠
2.（当时）全版本通杀。
3.立即生效，不用像hot potato那样有时候需要等Windows更新才能使用。
总之，我对这个的理解是通过中间人攻击，将COM（NTSYSTEM权限）在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌，然后利用msf的模仿令牌功能模仿SYSTEM令牌。

1.2 提权教程

过程： 上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功

实验环境：
kali： 192.168.226.131
windows server 2012： 192.168.226.160

1、假设通过漏洞将大马文件传到了目标web 站，并成功访问，如下图所示，成功获取了一个web权限

2、在kali上用以下命令生成一个后门，并上传到目标服务器。

二、win2012—DLL劫持提权应用配合MSF—web权限

2.1 DLL劫持提权原理

原理： Windows程序启动的时候需要DLL。如果这些DLL不存在，则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常，Windows应用程序有其预定义好的搜索DLL的路径，它会根据下面的顺序进行搜索：

补充说明：

dll劫持提权需要特定软件应用的控制权限及启用配合，复杂鸡肋
AlwaysInstallElevated提权默认禁用配置，利用成功机会很少

2.2 提权教程

过程： 信息收集-进程调试-制作dll并上传-替换dll-启动应用后成功

1、通过信息收集，发现目标服务器上存在一个第三方软件flashfxp。

三、win2012-不带引 服务路径配合MSF-web，本地权限

3.1 提权原理

原理： 当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行（如图1）。但是，如果服务的二进制路径未包含在引 中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

图1：可执行文件的路径被包含在引 中

3.2 提权教程

过程： 检测引 服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

1、执行命令，检测未被引 包含且还有空格的服务路径。

四、win2012-不安全的服务权限配合MSF-本地权限

4.1 提权原理

原理： 即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有过多的权限，例如，可以直接修改它导致重定向执行文件。

4.2 提权教程

过程： 检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

1、执行命令，检测当前用户所在组的服务权限（实战中一般都不是administrators组，这里仅做测试用），列出的都是当前用户可以操作的服务。