post-exploit-windows

$npx mdskill add wgpsec/AboutSecurity/post-exploit-windows

Execute post-exploitation on Windows to gain control and escalate privileges.

  • Collects system data, bypasses UAC, and extracts credentials from SAM and LSASS.
  • Integrates with Mimikatz, Potato, and exploits like PrintNightmare.
  • Analyzes token privileges and group memberships to select the best escalation path.
  • Outputs actionable commands and reports for independent hosts or domain environments.

SKILL.md

.github/skills/post-exploit-windowsView on GitHub ↗
---
name: post-exploit-windows
description: "Windows 系统后渗透全流程。当通过 RCE/webshell/RDP 获取到 Windows shell 后使用。覆盖系统信息收集、UAC 绕过、本地提权、凭据提取(SAM/LSASS/浏览器)、域信息侦察。适用于独立主机和域环境"
metadata:
  tags: "post-exploit,windows,privesc,domain,credential,提权,后渗透,uac,sam,lsass,mimikatz,域,windows提权,windows后渗透,hashdump,printnightmare,CVE-2021-34527,CVE-2021-1675,print-spooler-rce"
  category: "postexploit"
  mitre_attack: "T1003,T1055,T1053,T1547,T1112"
---

# Windows 后渗透方法论

## ⛔ 深入参考(必读)

- 需要 Potato/服务/UAC/内核提权详细命令 → [references/windows-privesc.md](references/windows-privesc.md)
- 需要 SAM/LSASS/浏览器凭据提取、域侦察、敏感数据搜索 → [references/windows-credential.md](references/windows-credential.md)
- 需要 KrbRelayUp/AMSI 绕过/Potato 兼容矩阵/权限映射表 → [references/ad-privesc-techniques.md](references/ad-privesc-techniques.md)
- → [references/printnightmare-attack.md](references/printnightmare-attack.md) — CVE-2021-34527 PrintNightmare 远程代码执行

---

## Phase 1: 基础信息收集

```cmd
whoami /all                 # 用户、组、权限(关键!看有没有 SeImpersonate)
systeminfo                  # 系统版本、补丁、域信息
ipconfig /all               # 网络配置(DNS 服务器 = 域控 IP)
net localgroup Administrators
```

### 关键权限 → 提权路径

| 权限 | 提权方法 |
|------|----------|
| SeImpersonatePrivilege | Potato 系列(GodPotato 兼容性最好)|
| SeBackupPrivilege | 读取 SAM/SYSTEM 注册表 |
| SeDebugPrivilege | dump LSASS |
| 管理员组但被 UAC 限制 | fodhelper.exe 绕过 |

### 30 秒快速提权检查

| # | 检查项 | 命令 | 提权方法 |
|---|--------|------|----------|
| 1 | Token 权限 | `whoami /priv` | SeImpersonate → Potato |
| 2 | 用户组 | `whoami /groups` | Administrators → UAC 绕过 |
| 3 | 服务权限 | `sc qc [service]` | 可写服务二进制 → 替换 |
| 4 | Unquoted Path | `wmic service get name,pathname` | 含空格未加引号路径 |
| 5 | AlwaysInstall | `reg query HKLM\...\Installer` | MSI SYSTEM 安装 |
| 6 | 自动登录 | `reg query "HKLM\...\Winlogon"` | DefaultPassword 泄露 |
| 7 | 补丁缺失 | `systeminfo` | 内核提权 CVE |

**快速判断**:Web shell 通常有 SeImpersonate → 优先用 Potato 提权。

## Phase 2: 提权决策树

```
当前权限?
├─ 有 SeImpersonate → Potato 提权(最常见)→ [references/windows-privesc.md](references/windows-privesc.md)
├─ 管理员组 + UAC 限制 → UAC 绕过 → [references/windows-privesc.md](references/windows-privesc.md)
├─ 低权限 → 检查服务/AlwaysInstallElevated/内核漏洞 → [references/windows-privesc.md](references/windows-privesc.md)
└─ 已是 SYSTEM/Admin → 直接进入凭据提取
```

## Phase 3: 凭据提取决策树

```
需要什么凭据?
├─ 本地账户哈希 → SAM 数据库(reg save)
├─ 域凭据/明文密码 → LSASS 内存(Mimikatz / comsvcs.dll)
├─ 浏览器密码 → Chrome Login Data / Firefox logins.json
└─ 其他 → 凭据管理器 cmdkey、PowerShell 历史、config 文件搜索
详细命令 → [references/windows-credential.md](references/windows-credential.md)
```

## Phase 4: 域环境判断

如果 `systeminfo` 显示 Domain 不是 WORKGROUP → 域环境,需进行域渗透。

## 注意事项
- **先收集再提权**:whoami /all 的输出决定整个提权路线
- **Potato 系列选择**:不确定版本 → GodPotato(最广泛兼容)
- **LSASS dump 替代方案**:comsvcs.dll MiniDump 不需要上传 Mimikatz

## UAC 绕过
- fodhelper.exe 等自动提升(auto-elevate)的白名单程序可绕过 UAC

## LSASS 转储
- comsvcs.dll 方法:杀软绕过,不落地文件,LOLBins(系统自带工具)

More from wgpsec/AboutSecurity

SkillDescription
401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security|
ai-data-security|