把自己活成一道光，因为你不知道，谁会借着你的光，走出了黑暗。请保持心中的善良，因为你不知道，谁会借着你的善良，走出了绝望。请保持你心中的信仰，因为你不知道，谁会借着你的信仰，走出了迷茫。请相信自己的力量，因为你不知道，谁会因为相信你，开始相信了自己....

在xp_cmdshell被删除或不能利用是可以考虑利用sp_oacreate，利用前提需要sqlserver sysadmin账户服务器权限为system（sqlserver2019默认被降权为mssql）。sp_oacreate 是一个存储过程，可以删除、复制、移动文件。还能配合 sp_oamethod 来写文件执行系统命令。

xp_cmdshell可以执行系统命令，该组件默认是关闭的，因此需要把它打开。xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重新开启它。

SQL Server 是Microsoft 公司推出的关系型数据库管理系统。具有使用方便可伸缩性好与相关软件集成程度高等优点，可跨越从运行Microsoft Windows 98 的膝上型电脑到运行Microsoft Windows 2012 的大型多处理器的服务器等多种平台使用。

mof是windows系统的一个“托管对象格式”文件（位置：C:/windows/system32/wbem/mof/），其作用是每隔五秒就会去监控进程创建和死亡，mof目录下有两个文件夹（good与bad）。Windows server 2003及以下系统每5秒会执行一次mof目录下的文件，执行成功会移动到good文件夹，执行失败则会移动到bad文件夹。注：MOF提权只能用于Windows系统提权，Linux提权无法使用。

MySQL的内置函数虽然丰富，但毕竟不能满足所有人的需要，有时候我们需要对表中的数据进行一些处理而内置函数不能满足需要的时候，就需要对MySQL进行一些扩展，幸运的是，MySQL给使用者提供了添加新函数的机制，这种使用者自行添加的MySQL函数就称为UDF(User Define Function)。UDF机制能够起作用，必须使用C或者C++编写函数，你的系统必须支持动态加载,，mysql采用动态链接库加载自定义函数。这里举个例子方便大家理解，我们在使用user();

我们首先在需要在虚拟机中安装一个Centos7。

大多数linux系统的密码都和/etc/passwd和/etc/shadow这两个配置文件息息相关。passwd里面储存了用户，shadow里面是密码的hash。shadow是仅root可读写的，当管理员的passwd和shadow一些权限配置不当就可能会导致提权。然后在电脑上新建一个shadow.txt的文件，将复制的内容放进去。主要是查看当前的shadow文件是否可以读取，主要有以下几种方式。我们拿下了目标机器，发现目标机器上的shadow居然有读写权限。我们发现对方的shadow文件可以查看。

接下来查看文件里面的内容，发现文件1和文件2都可以查看，但是–help查看不了，直接调出了–help的命令，这种类型的技巧称为Wildcard wildness。一般都有备份网站的习惯，那么运维人员或管理员填写了备份文件的计划任务任务，如果滥用了通配符，就可能导致提权。如果有的命令的参数中可以去执行linux命令，我们进行劫持，达到提权的目的，我们以tar命令为例子。可以对后面的命令进行劫持 ,只需要要编写一个这样的参数文件就行可以了。查看计划任务，发现有滥用通配符的，并且是root权限，可以进行提权。

sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如reboot，su等等。在一些应用场景里面，为了方便运维人员以低权限帐号进行运维，往往会开启帐号的一些SUDO权限给运维帐号，而SUDO权限的授予在/etc/sudoers中进行操作。但是想获取哪些命令设置了无密码sudo，还是需要查看 cat /etc/sudoers 文件或者 sudo -l 命令，而这两条命令都需要一定权限或者知道当前用户密码。这里要注意了添加的命令一定要写在最后一行。

假设管理员用户在/home目录下创建了一个demo.c文件，内容如下，执行查看shadow文件命令，setuid 规定了其运行用户，以root权限进行编译和权限设置。如果我们可以在环境变量中写入自己的环境变量，然后写一个自己的恶意命令，从而达到提权的目的。接下来用命令查找SUID文件，发现一个shell文件被配置了SUID。运行shell文件，发现是查看/etc/shadow的命令。可以看到目前我们的用户是一个普通用户daoer的权限。那么我们劫持cat命令，达到提权的目的。接下来就可以进行提权了。

先准备一个SUID文件或者权限为xx7的文件，让低权限的用户可以执行文件的修改，在这里我们我们准备一个sh文件或者python文件都可以，我们写一个linux运维脚本，来监控当前电脑的运行参数。linux计划任务提权是因为权限配置不当，计划任务以root权限运行，低权限的用户可以修改计划任务的文件，从而被攻击者利用，导致提权，Linux计划任务命令如下。linux文件权第一部分是该文件的拥有者所拥有的权限，第二部分是该文件所在用户组的用户所拥有的权限，最后一部分是其他用户所拥有的权限。

SUID是一种特殊权限，设置了suid的程序文件，在用户执行该程序时，用户的权限是该程序文件属主的权限，例如程序文件的属主是root，那么执行该程序的用户就将暂时获得root账户的权限。sgid与suid类似，只是执行程序时获得的是文件属组的权限。passwd这个命令程序的权限设置，它就是设置了suid权限的只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义.命令执行者要对该程序文件拥有执行(x)权限.命令执行者在执行该程序时获得该程序文件属主的身份.

内核提权是利用Linux内核的漏洞进行提权的，内核漏洞进行提权一般包括三个环节：1、对目标系统进行信息收集，获取到系统内核信息及版本信息；2、根据内核版本获取其对应的漏洞以及EXP3、使用找到的EXP对目标系统发起攻击，完成提权操作EXP该怎么着呢，可以用Kali去寻找，kali中自带searchsploit命令可以查找EXP,输入对应的版本号就可以查找相应的漏洞输入就会自动复制该文件到当前目录。

令牌（Token）是系统的临时密钥，相当于账户名和密码，用来决定是否允许这次请求和判断这次请求是属于哪一个用户的，它允许你在不提供密码或其他凭证的前提下，访问网络和系统资源，这些令牌持续存在系统中，除非系统重新启动令牌最大的特点就是随机性，不可预测，一般黑客或软件无法猜测出来，令牌有很多种访问令牌（Access Token）表示访问控制操作主题的系统对象会话令牌(Session Token) ：是交互会话中唯一的身份标识符，可以理解为web中的token。

默认情况下，Windows UAC 提示本身是由名为 consent.exe 的可执行文件生成的，该可执行文件以 NT AUTHORITY\SYSTEM 身份运行并且有 System 的完整性水平。通过点击此链接会触发以 SYSTEM 权限打开浏览器，然后此浏览器就会有 SYSTEM 权限，（浏览器打开必须先要关闭UAC对话框）通过保存按钮打开CMD，CMD就会继承浏览器的 SYSTEM 权限，由此就完成了由普通用户到 NT AUTHORITY\SYSTEM 用户的提权。弹出位置不可用的对话框点确定。

先将操作在本地执行，使用procmon进行监控，过滤DLL和 NAME NOT FOUND ，寻找可以替换的DLL文件，注意文件的权限是否可以在目录写入，可以看到在C盘的tools目录的文件中有一个srrstr.dll被调用，但是没有加载，我们生成恶意的DLL文件看看是否可以被劫持。在Windows中许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库文件，即dll文件，放置于系统中，个人理解类似于我们编程中引入的模块。将我们生成的DLL文件改名为我们要劫持的DLL文件名。

利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值中指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。我们在运行eventvwr.exe，程序会在注册表下去找这些值，如果这些值是一个calc的程序，那么系统在运行eventwr.exe时就会去执行一个calc.exe。我们打开注册表,去找到刚刚那个注册表的位置。

该模块会创建一个可执行文件，目标机器会运行一个发起提升权限请求的程序，提示用户是否要继续运行，如果用户选择继续运行程序，就会返回一个system权限的shell。这个模块对用户没有要求，点击通过即可，但是会创建一个恶意文件，对该文件进行免杀即可。使用该模块提权的使用，当前用户必须是管理员组中的用户，UAC为默认设置。拿到一个普通管理员的SHELL,在CS中没有*号代表有UAC。执行添加用户的命令时显示拒绝访问。使用CS自带的插件进行绕过提权。提权后可以完成添加用户的命令。生成一个MSF的SHELL。

UAC（User Account Control），中文翻译为用户帐户控制，是微软在Windows Vista和Windows7中引用的新技术，主要功能是进行一些会影响系统安全的操作时，会自动触发UAC，用户确认后才能执行。因为大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如：将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作，而这些操作都会触发UAC，用户都可以在UAC提示时来禁止这些程序的运行

windows启动项目录下的脚本可以开机自启，利用这一个特性向上述的目录传入恶意的脚本达到提权的目的，前提是你当前的用户有对启动项目录或者启动项注册表的更改权限

计划任务提权的原理非常的简单，就是在设置计划任务的时候配置不当，导致我们可以更改计划任务执行的文件，我们可以进行劫持然后替换成自己的恶意文件达到提权的目的

只要我们能知道电脑的最高权限的账号密码，或者一些票据或者凭证我们就可以通过认证，执行最高权限的命令

注册表键AlwaysInstallElevated是一个策略设置项。windows允许低权限用户以System权限运行安装文件。如果启用此策略设置项，那么任何权限用户都能以NT AUTHORITY\SYSTEM权限来安装恶意的MSI(Microsoft Windows Installer)文件。

Windows的服务路径存储在Windows的注册表中，若注册表配置不当，当攻击者可以发现使用低权限可以更改注册表的选项的时候，就可以导致提权，可以将 imagepath 修改成恶意的文件，重启导致提权

通常 Windows服务都是以 System权限运行的,当由于系统管理员错误配置导致低权限用户可以对某些服务修改时,可以通过修改服务启动文件的路径“ binpath”,将其替换为恶意程序的路径,这样服务启动时便会运行恶意程序

PATH环境变量包含很多目录列表，某些执行程序的方法（即使用cmd.exe或命令 行）仅依赖PATH环境变量来确定未提供程序路径时搜索程序的位置。

随着网络安全的发展和普及,不打补丁的系统少之又少,所以很多时候通过系统自身的漏洞很难提权,这个时候就需要考虑查看是否存在可利用的错误系统配置,例如路径未加引号或未指定可执行文件路径等,总而言之就是因为管理员在配置一些软件的时候存在漏洞导致可以提权的。

溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取 Windows操作系统System权限,其中溢出，提权又分为远程溢出和本地溢出。远程溢出需要与远程服务器建立连接,然后根据系统漏洞使用相应的溢出程序获取远程服务器的 Windows操作系统Systen权限。本地溢出是主流的提权方式,通常需要向服务器上传本地溢出程序,然后在服务器执行,如果系统存在漏洞,那么将会溢出获得 Windows操作系统System权限。

因为拿到目标系统的shell不同，我们的提权的方式也不同，每种提权的姿势也就不同

权限提升简称提权,顾名思义就是提升自己在目标系统中的权限。现在的操作系统都是多用户操作系统,用户之间都有权限控制,比如通过Web漏洞拿到的是web进程的权限,往往Web服务都是以一个权限很低的账号启动的,因此通过 Webshell进行一些操作会受到限制,这就需要将其提升为管理