提权从目的可分为纵向提权与横向提权：

1. 纵向提权：低权限角色获得高权限角色的权限。（最常见的）
2. 横向提权：获取同级别角色的权限。（根据实际的需求）

Windows常用的提权方法有：

系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、窃取令牌提权、bypassuac提权，第三方软件/服务提权，WEB中间件漏洞提权等。

提权思维导图：

提权思路：

1.系统内核溢出漏洞提权

简介：此提权方法是利用系统本身存在的一些系统内核溢出漏洞，但未曾打相应的补丁，攻击者通过对比systeminfo信息中的补丁信息来查找缺失的补丁号，通过缺失补丁号对照相应的系统版本查找对应可以提权提升的exp

注意，只要对应的补丁号加上对应的系统的版本的提权exp才可以成功，有时候如果查找到提权exp提权不成功，那么就可以查看是不是系统版本没对应上，且不排除一些提权漏洞利用需要相应的环境。

查找补丁的手法：

#手工查找补丁情况
systeminfo
Wmic qfe get Caption,Description,HotFixID,InstalledOn
?
#MSF后渗透扫描
post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
?
#windows exploit suggester
https://github.com/AonCyberLabs/Windows-Exploit-Suggester
?
#powershell中的sherlock脚本
Import-Module C:\Sherlock.ps1 #下载ps1脚本，导入模块
Find-AllVulns
?
#Empire内置模块 Empire框架也提供了关于内核溢出漏洞提权的漏洞利用方法
usemodule privesc/powerup/allchecks
execute
?
..........
?

查找到缺失的补丁后，对照相应的系统版本，查找对应的exp

https://github.com/SecWiki/windows-kernel-exploits
https://bugs.hacking8.com/tiquan/
https://github.com/Heptagrams/Heptagram/tree/master/Windows/Elevation
https://www.exploit-db.com/
https://i.hacking8.com/tiquan/
...........

2.系统配置错误提权

2.1 错误权限配置

简介：windows系统服务文件在操作系统启动时加载和运行，并在后台调用可执行文件。理论上，低权限用户是没有对高权限服务调用的可执行文件写权限，但是，如果因管理员错误的配置，导致一个低权限的用户对此类系统服务调用的可执行文件拥有写权限，那么低权限用户就可以将该文件替换成任意可执行文件，这样就可以劫持系统服务，获得该系统服务的权限，而windows服务是以system权限运行的，所以低权限用户就能获得系统权限。（利用条件比较苛刻）

系统服务权限配置错误利用有如下两种方式