本地提权方法1：Administrator提成System

0x01.利用at命令提权（适用：winxp或者以下

利用at命令先将xp预定在之后的某个时间执行打开cmd的指令

由于at命令是强行调用system权限，所以利用at命令打开的cmd和利用这个cmd打开的taskmgr都是system权限

这样我们就能用system权限的shell来做操作了，但是这还不够，我们可以发现explorer也就是我们的桌面还是Administrator的权限，我们可以考虑先杀死administrator的explorer之后再用taskmgr打开他

之后打开的explorer就是system权限了

0x02.利用sc创建系统服务提权（适用win8以下

使用cmd命令：sc Create syscmd binPath= "cmd /K start" type=own type=interact

大致意思是创建一个叫做syscmd的系统服务，系统服务的内容是建立一个新的cmd窗口，并且利用创建的权限且启动交互模式

由于windows的系统服务默认都是system权限的，所以就算是利用系统权限来打开了这个cmd窗口

当创建成功后我们就可以利用sc命令打开这个服务了

执行后出现一个cmd窗口，利用taskmgr可以查看权限

确实是system权限

0x03.利用微软自带的一个工具包提权

首先进入网址https://docs.microsoft.com/zh-cn/sysinternals/downloads/下载Sysinternals Suite工具包

再将工具包解压到目标系统，将其中的psexec给放到system32文件夹中(64位就用psexec64

接着利用命令行使用psexec这个程序

psexec64.exe -i -s cmd

-i是表示互动 -s表示system权限

然后利用taskmgr

也成功拿到了system权限的cmd

0x04.隐藏命令在系统进程中

首先下载pinjector工具http://www.tarasco.org/security/Process_Injector/

下载好后放入目标机中，打开exe并使用-l指令

能够得到SYSTEM权限的系统进程的PID列表，这时候我们随便选择一个PID进行注入

发现进程成功被污染

接着查看5555端口

在监听状态，那么这时候我们打开我们的kali机，利用nc来连接

就能成功拿到shell了