admin 提权到system

目标获得administrator 提权system

不同的操作系统方法稍微不同

guest权限比较低

3389别人连接

服务在默认的情况下以system启动工作在system

思路就是 所有的服务都是通过system来执行的上

这个服务就会调用system这个账号来执行 启动之后被启动的账号和密码就会工作在这个权限里面具有system的权限

一、在WIN xp中  at命令调度

    打开cmd

    使用at命令调度任务：at time /interactive cmd

    time：16：00

    /interactive：交互模式，会出现窗口，而不是后台运行

    cmd：启动的服务

    然后会出现一个新的命令行窗口，通过任务管理器可以看到，该窗口属于system

二、在WIN XP及更高的系统中 SC命令，服务的形式

    通过shell添加服务：

        sc create syscmd binpath= "cmd /k start" type= own type= interact

     注意空格

    然后 sc start syscmd 启动

    启动的CMD是system权限，原因：因为services.msc中的服务都会以system启动

三、通过微软组件

https://docs.microsoft.com/zh-cn/sysinternals/downloads/

其中的 PsExec 软件可以实现

参数：

    -i Run theprogram so taht it interacts with the desktop of the specified session on the remote                 sysytem. If no session is specified the process runs in the console session.

    -s Run the remote process in the Sytem account

命令：

    PsExec.exe -i -s cmd

cmd

cmdnet user 用户名 *              //用于设置密码

net user       //查看当前所有账号

net user 账号名称                //用于检查账号的基本情况

at /?                                   //用于查看命令参数

at 18:12 /interactive cmd   //定时提权成sys账号运行cmd

taskmgr              //执行任务管理器

关闭explorer 再重启  就能以system用户打开

at命令只能在xp 2003等早期系统上使用，在win7 win8等操作系统上无法使用

sc Create [名字] binPath="cmd /K start" type= own  type= interact  

//own 指由启动账号所拥有的服务 interact指可交互的而不是后台运行的服务

cmd /k start           //用于打开一个新的cmd窗口

默认情况下该服务未启动

sc start [名字]         //启动服务

用SysinternalsSuite里的PsExec.exe -i -s cmd 提权

《Windows Internal》

at命令 xp、2003才行，win7、win8不可以

sc 这个可以在win7、8使用

 ADMIN提权为SYSTEM

思路：利用windows中以system运行的程序进行操作，将系统提权

win xp、win2003

1. at 18:12(时间) /interactive cmd     #以system身份启动cmd
2. 启动taskmgr服务
3. 杀掉explorer.exe进程（桌面）
4. 新建explorer.exe进程

win7，win8

sc Create syscmd binPath- "cmd /K start" type- own type- interact

#创建syscmd系统服务

sc start syscmd  #启动服务

使用工具

Sysinternals Suite中的PsExec程序

PsExec.exe -i -s cmd