Potato家族本地提权分析

0x00 前言

在实际渗透中，我们用到最多的就是Potato家族的提权。本文着重研究Potato家族的提权原理以及本地提权细节

0x01 原理讲解

1.利用Potato提权的是前提是拥有SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege权限，以下用户拥有SeImpersonatePrivilege权限（而只有更高权限的账户比如SYSTEM才有SeAssignPrimaryTokenPrivilege权限）：

本地管理员账户(不包括管理员组普通账户)和本地服务账户

由SCM启动的服务
PS：本机测试时即使在本地策略中授予管理员组普通用户SeImpersonatePrivilege特权，在cmd.exe中whoami /priv也不显示该特权，且无法利用；而SeAssignPrimaryTokenPrivilege特权则可以正常授予普通用户
2.Windows服务的登陆账户

Local System(NT AUTHORITY\SySTEM)

Network Service(NT AUTHORITY\Network Service)

Local Service(NT AUTHORITY\Local Service)
也就是说该提权是

Administrator——>SYSTEM

Service——>SYSTEM
服务账户在windows权限模型中本身就拥有很高的权限
在实际渗透过程中，拿到webshell下，用户权限是IIS或者apache