一个针对WindowsServer的本地提权工具

admin
admin
admin
0
文章
0
评论
2026-01-07 02:30:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: NetManTrigger利用WindowsServer缺失wlanapi.dll的NetMan服务,通过向%PATH%可写目录植入恶意DLL完成SYSTEM提权,支持2008R2-2019版本,需PATH写入权限,编译后复制DLL并执行触发即可。 综合评分: 78 文章分类: 本地提权,漏洞POC,Windows安全,红队

cover_image

一个针对 Windows Server 的本地提权工具

Byxs20

李白你好

2026年1月6日 16:50 青海

免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

NetManTrigger 是一个针对 Windows Server 平台的本地提权(Local Privilege Escalation, LPE)概念验证工具(PoC)。作者:Byxs20

它利用了 Network Connections (NetMan) 服务中的 DLL 劫持漏洞,通过放置恶意的 wlanapi.dll,将权限从本地用户/管理员提升至 NT AUTHORITY\SYSTEM

📖 简介 (Introduction)

在 Windows Server 操作系统中,默认未安装“无线局域网服务”(Wireless LAN Service),导致系统目录 C:\Windows\System32\ 下缺失 wlanapi.dll 文件。

然而,以 SYSTEM 权限运行的 NetMan 服务在启动或枚举网卡时,依然会尝试加载该 DLL。由于 System32 中不存在该文件,Windows 加载器(Image Loader)会按照 DLL 搜索顺序,在系统环境变量 %PATH% 指定的目录中查找该文件。

如果攻击者对 %PATH% 中的某个目录拥有写入权限,即可通过植入恶意的 DLL 实现代码执行并提权。

🎯 支持的系统 (Target Systems)

本漏洞主要影响 Windows Server 版本,因为客户端版本(Windows 10/11)默认存在该 DLL,无法触发搜索顺序劫持。

经测试支持的版本:

  • Windows Server 2008 R2
  • Windows Server 2012 / 2012 R2
  • Windows Server 2016
  • Windows Server 2019

注意:Windows 10 / 11 等客户端版本不受影响(除非用户手动卸载了无线 LAN 功能)。

🚀 利用条件 (Prerequisites)

为了成功利用此漏洞,必须满足以下条件:

  1. 目标系统为 Windows Server(System32 下无 wlanapi.dll)。
  2. PATH 写入权限:当前用户必须对系统 %PATH% 环境变量中的至少一个目录拥有写入权限(例如:权限配置不当)。

注意:%PATH% 只代表下面这些默认的环境变量:

而并非用户添加的系统环境变量或者用户变量,这些用户添加的 PATH 都不会被用来寻找DLL文件。

🛠️ 使用方法 (Usage)

1. 编译 (Compile)

确保:配置属性-C/C++-代码生成-运行库,设置如下:

然后使用 Visual Studio 编译项目生成的 DLL 和 利用软件。

2. 执行攻击 (Exploit)

  1. 将编译好的 wlanapi.dll 复制到目标可写目录中。(一般C:\Windows\System32\wlanapi.dll
  2. 执行 NetManTrigger.exe 触发 NetMan 服务加载 DLL。可以通过重启服务(如果权限允许)或等待系统自动触发(如网络状态改变)。
  3. 恶意代码将以 SYSTEM 权限执行。

🔗 参考 (References)

本项目的核心原理基于 ITm4n 的研究文章:

  • Windows Server NetMan Service DLL Hijacking by @itm4n https://itm4n.github.io/windows-server-netman-dll-hijacking/

工具下载

https://github.com/Byxs20/NetManTrigger

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:李白你好 Byxs20《一个针对 Windows Server 的本地提权工具》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0