权限提升技术：攻防实战与技巧

内容简介 权限提升一直是渗透测试流程种比较重要的一环，想要成为权限提升领域的专家吗？那就来看看这本《权限提升技术：攻防实战与技巧》吧！系统性、实战性、技巧性、工程性，一应俱全。 内容结构严谨，涵盖Windows和Linux系统下的提权方法，为你构建了完整的学习路径；理论知识和实践操作并重，每一章都有详细的演示，让你不仅理解更深刻，实战能力也得以提升。 不同环境下的提权需求？别担心，书中介绍了多种实用技巧和方法，让你随时应对。从渗透测试的角度出发，为网络安全从业人员和渗透测试工程师提供实际工作所需的技术支持；服务器运维人员也能在书中找到对各种提权技术的防御和维护措施，保障系统安全。 通俗易懂的语言，简洁明了的表达，结合大量案例和操作演示，让你更轻松地掌握知识；图文并茂的排版方式，直观呈现知识点，提升阅读体验。成为权限提升领域的高手，就从这本书开始！

于 宏 <br />资深网络安全专家，拥有 10 余年网络安全工作经验，专攻红队攻防对抗。曾在多家知名企业担<br />任红队研究员，负责组织和实施网络攻击演练，发现和修复系统安全漏洞。曾参与多个复杂网络渗透测试项目，熟练运用各类渗透工具和技术，深谙攻击者心理学。公众号：“关注安全技术”运营者。<br /><br />陈书昊 <br />资深网络安全专家，拥有 10 余年网络安全工作经验，专注于红队研究。曾参与国家级网络攻防<br />演练（中国信息安全测评中心赛事、工业信息安全技能大赛、护网演练等），熟练掌握各类高级渗透技术。精通多种编程语言，擅长各类漏洞挖掘手法。<br />公众号：“关注安全技术”运营者。

前　言<br />第一部分　基础知识<br />第1章　提权概述　3<br />1.1权限与权限提升　3<br />1.1.1权限的概念　3<br />1.1.2权限提升的概念　4<br />1.1.3权限提升的分类　4<br />1.1.4权限提升的目的　5<br />1.2Windows提权基础知识　5<br />1.2.1用户和用户组　6<br />1.2.2访问控制列表　10<br />1.2.3安全标识符　12<br />1.2.4身份验证　13<br />1.2.5访问令牌　13<br />1.2.6权限分配　15<br />1.2.7Windows哈希　18<br />1.2.8用户账户控制　19<br />1.2.9Windows服务　22<br />1.2.10　注册表　23<br />1.3Linux提权基础知识　24<br />1.3.1用户　24<br />1.3.2用户组　25<br />1.3.3用户配置文件　26<br />1.3.4用户管理相关命令　30<br />1.3.5文件及权限　35<br />第2章　环境与工具的准备　41<br />2.1虚拟机　41<br />2.2攻击机Kali Linux　41<br />2.2.1虚拟机文件　42<br />2.2.2WSL　44<br />2.2.3Metasploit　48<br />2.2.4Cobalt Strike　55<br />2.2.5Empire 4　64<br />2.3PowerShell　76<br />2.3.1查看版本　77<br />2.3.2PowerShell cmdlet　77<br />2.3.3执行策略和导入脚本　77<br />2.3.4远程下载并执行　79<br />2.3.5编码执行　80<br />2.4WinPEAs　80<br />2.5PowerUp和SharpUp　81<br />2.6Accesschk　83<br />2.7cacls和icacls　84<br />第3章　文件操作　86<br />3.1Windows文件操作　86<br />3.1.1文件创建/写入　86<br />3.1.2文件读取　88<br />3.1.3文件下载　88<br />3.1.4文件压缩/解压　90<br />3.2Linux文件操作　92<br />3.2.1文件创建/写入　92<br />3.2.2文件读取　93<br />3.2.3文件搜索　94<br />3.2.4文件下载　94<br />3.2.5文件压缩/解压　95<br />第二部分　Windows提权<br />第4章　Windows系统下的信息收集　99<br />4.1服务器信息枚举　99<br />4.1.1版本信息　99<br />4.1.2架构信息　99<br />4.1.3服务信息　100<br />4.1.4进程信息　101<br />4.1.5驱动信息　102<br />4.1.6磁盘信息　103<br />4.1.7补丁信息　104<br />4.1.8系统信息　104<br />4.1.9应用程序信息　105<br />4.1.10　计划任务信息　108<br />4.1.11　开机启动信息　109<br />4.1.12　环境变量信息　110<br />4.2网络信息枚举　111<br />4.2.1IP信息　111<br />4.2.2端口信息　112<br />4.2.3网络接口信息　112<br />4.2.4路由信息　112<br />4.2.5共享信息　113<br />4.3用户信息枚举　114<br />4.3.1当前用户信息　114<br />4.3.2所有用户／组信息　115<br />4.3.3在线用户信息　118<br />4.3.4用户策略信息　118<br />4.4防护软件枚举　118<br />4.4.1防火墙状态　118<br />4.4.2Windows Defender状态　119<br />4.4.3常见的防护软件进程　120<br />第5章　Windows密码操作　121<br />5.1密码搜索　121<br />5.1.1文件中的密码搜索　121<br />5.1.2在注册表中寻找密码　124<br />5.1.3无人值守文件　125<br />5.1.4安全账户数据库备份文件　127<br />5.1.5便笺信息　128<br />5.1.6应用中的密码　129<br />5.1.7PowerShell历史命令记录　132<br />5.1.8WiFi密码　132<br />5.1.9凭据管理器　134<br />5.1.10　WSL子系统　138<br />5.1.11　针对密码泄露的防御措施　140<br />5.2密码窃取　140<br />5.2.1伪造锁屏　140<br />5.2.2伪造认证框　147<br />5.2.3肩窥　159<br />5.2.4针对密码窃取的防御措施　164<br />5.3密码破解　164<br />5.3.1暴力破解　164<br />5.3.2字典组合　168<br />5.3.3撞库攻击　169<br />5.3.4喷射攻击　169<br />5.3.5针对密码破解的防御措施　170<br />第6章不安全的Windows系统配置项　171<br />6.1不安全的服务　171<br />6.1.1弱权限的服务配置　171<br />6.1.2弱权限的服务文件　178<br />6.1.3弱权限的注册表　184<br />6.1.4未引用的服务路径　188<br />6.1.5DLL劫持　193<br />6.1.6针对不安全服务的防御措施　200<br />6.2不安全的注册表项　200<br />6.2.1注册表启动项AutoRun　200<br />6.2.2AlwaysInstallElevated　203<br />6.2.3针对不安全注册表项的防御措施　209<br />6.3不安全的应用程序　209<br />6.4不安全的系统配置　212<br />6.4.1环境变量劫持　212<br />6.4.2可修改的计划任务　215<br />6.4.3HiveNightmare　218<br />6.4.4开机启动文件夹　221<br />6.4.5针对不安全系统配置的防御措施　223<br />6.5不安全的令牌权限　223<br />6.5.1SeImpersonatePrivilege和SeAssignPrimaryTokenPrivilege　223<br />6.5.2SeDebugPrivilege　240<br />6.5.3SeTcbPrivilege　243<br />6.5.4SeBackupPrivilege　243<br />6.5.5SeRestorePrivilege　246<br />6.5.6SeCreateTokenPrivilege　252<br />6.5.7SeLoadDriverPrivilege　253<br />6.5.8SeTakeOwnershipPrivilege　255<br />6.5.9针对不安全令牌权限的防御措施　261<br />6.6令牌操纵　262<br />6.6.1令牌冒用　262<br />6.6.2令牌窃取　264<br />6.6.3令牌绑架　267<br />6.6.4针对令牌操纵的防御措施　267<br />6.7RunAs　267<br />6.7.1常规利用　267<br />6.7.2RunasCs　268<br />6.7.3PowerShell　269<br />6.7.4WMIC　270<br />6.7.5针对RunAs的防御措施　270<br />6.8绕过UAC　270<br />6.8.1查看UAC状态　272<br />6.8.2白名单程序绕过UAC　274<br />6.8.3COM组件绕过UAC　286<br />6.8.4常用工具　292<br />6.8.5针对绕过UAC的防御措施　299<br />第7章Windows系统漏洞与第三方提权　301<br />7.1Hot Potato　301<br />7.2Print Spooler和PrintNightmare　302<br />7.2.1Print Spooler　303<br />7.2.2PrintNightmare　304<br />7.3溢出漏洞　305<br />7.3.1实验步骤　306<br />7.3.2漏洞利用　310<br />7.3.3针对溢出漏洞的防御措施　312<br />7.4数据库提权　313<br />7.4.1SQL Server　313<br />7.4.2MySQL　336<br />7.4.3针对数据库提权的防御措施　341<br />第三部分　Linux提权<br />第8章　Linux系统下的信息收集　345<br />8.1服务器信息枚举　345<br />8.1.1判断是否使用虚拟化技术　345<br />8.1.2系统基本信息　346<br />8.1.3内核版本信息　346<br />8.1.4系统架构信息　346<br />8.1.5发行版本信息　347<br />8.1.6系统主机名信息　347<br />8.2用户信息枚举　347<br />8.2.1当前用户信息　347<br />8.2.2所有用户/组信息　348<br />8.2.3id和对应组信息　348<br />8.2.4在线用户信息　348<br />8.2.5历史登录信息　349<br />8.2.6超管用户信息　350<br />8.3环境配置枚举　350<br />8.3.1系统环境信息　350<br />8.3.2环境变量中的路径信息　351<br />8.3.3用户环境配置文件　351<br />8.3.4可用Shell　351<br />8.4网络信息枚举　351<br />8.4.1网络接口信息　351<br />8.4.2ARP缓存信息　352<br />8.4.3路由信息　353<br />8.4.4系统网络连接信息　353<br />8.4.5DNS信息　354<br />8.5系统进程枚举　354<br />8.6特权访问枚举　355<br />8.6.1sudoers文件权限　355<br />8.6.2无密码访问sudo　356<br />8.7cron任务枚举　356<br />8.7.1所有cron任务　356<br />8.7.2所有用户的定时任务　357<br />8.7.3当前用户的定时任务　357<br />8.7.4其他用户的定时任务　358<br />8.8软件信息枚举　358<br />8.9文件枚举　359<br />8.9.1常用工具　359<br />8.9.2系统敏感文件权限　359<br />8.9.3特殊权限的文件　360<br />8.9.4可写文件　360<br />8.9.5指定扩展名的文件　361<br />8.9.6关键字文件　361<br />8.9.7历史命令记录文件　361<br />8.9.8隐藏文件　362<br />8.9.9配置文件　363<br />8.9.10　SSH私钥文件　364<br />8.10　信息收集辅助工具　365<br />8.10.1　Metasploit模块　365<br />8.10.2　LinEnum脚本　365<br />第9章不安全的Linux系统配置项　368<br />9.1不安全的用户组　368<br />9.1.1disk用户组　368<br />9.1.2adm用户组　369<br />9.1.3shadow用户组　369<br />9.1.4lxd用户组　370<br />9.1.5docker用户组　373<br />9.1.6针对不安全用户组的防御措施　374<br />9.2不安全的读写权限　374<br />9.2.1可写的/etc/passwd文件　374<br />9.2.2可读的/etc/shadow文件　375<br />9.2.3Systemd配置不当　377<br />9.2.4针对不安全读写权限的防御措施　378<br />9.3不安全的SUID权限　379<br />9.3.1SUID配置不当　379<br />9.3.2SUID systemctl提权　380<br />9.3.3$PATH变量劫持　381<br />9.3.4so共享对象库注入　383<br />9.3.5Capabilities机制　386<br />9.3.6针对不安全SUID权限的防御措施　388<br />9.4不安全的sudo配置　388<br />9.4.1sudo权限分配不当　388<br />9.4.2sudo脚本篡改　389<br />9.4.3sudo脚本参数利用　390<br />9.4.4sudo绕过路径执行　392<br />9.4.5sudo LD_PRELOAD环境变量　393<br />9.4.6sudo caching　394<br />9.4.7sudo令牌进程注入　395<br />9.4.8针对不安全sudo配置的防御措施　397<br />9.5不安全的定时任务　397<br />9.5.1crontab配置可写　398<br />9.5.2crontab调用文件覆写　400<br />9.5.3cron环境变量　402<br />9.5.4针对不安全定时任务的防御措施　403<br />9.6可被利用的通配符　404<br />9.6.1chown劫持文件所有者　404<br />9.6.2tar通配符注入　406<br />9.6.3rsync通配符注入　407<br />9.6.4针对可被利用通配符的防御措施　408<br />第10章　Linux系统漏洞与第三方提权　409<br />10.1　内核漏洞　409<br />10.1.1　内核溢出　409<br />10.1.2CVE-2016-5195（脏牛）　412<br />10.1.3Metasploit　413<br />10.1.4针对内核漏洞的防御措施　414<br />10.2　密码破解　414<br />10.2.1SSH　414<br />10.2.2MySQL　415<br />10.2.3Tomcat　416<br />10.2.4针对密码破解的防御措施　417<br />10.3　不安全的第三方应用　418<br />10.3.1Tomcat manager　418<br />10.3.2Redis未授权访问　419<br />10.3.3Nginx本地提权漏洞（CVE-2016-1247）　421<br />10.3.4针对不安全第三方应用的防御措施　424<br />10.4　Docker逃逸　424<br />10.4.1Docker渗透工具箱　424<br />10.4.2容器漏洞　425<br />10.4.3配置不当　428<br />10.4.4Docker Capabilities　431<br />10.4.5针对Docker逃逸的防御措施　435