文章总结： 文档介绍了一种名为WebClientRelayUp的本地权限提升技术，利用WebClient服务与MS-EFSR协议结合LDAP中继和ShadowCredentials攻击，在默认域配置下无需修补即可将已加入域的Windows工作站权限提升至SYSTEM。文章详述了八步攻击链、先决条件及工具用法，提供了从强制启动服务到绕过UAC获取系统权限的完整实战流程。 综合评分： 90 文章分类： 内网渗透,红队,渗透测试,安全工具

WebClientRelayUp – 一种无需修复即可在已加入域的 Windows 工作站中通用的本地权限提升方法

TtTeam

2026年3月3日 09:03 中国香港

Web客户端中继

这基本上是域加入的 Windows 工作站默认配置下普遍存在的无需修复的本地权限提升漏洞。

1. 强制启动 WebClient 服务（如果尚未运行）（无需管理员帐户！:))
2. 启动HTTP中继服务器（默认端口为8080）
3. 强制系统使用 MS-EFSR 函数（ SharpEfsTrigger）连接到我们的中继服务器
4. 中继与域控制器 LDAP 服务的连接（中继机器帐户）
5. 生成 KeyCredential blob 并将其添加到中继计算机帐户的 ms-DSKeyCredentialLink 属性中。
6. 使用 PKINIT 以机器帐户身份进行身份验证，并获取机器帐户的 TGT。
7. 使用 TGT 利用 S4U2Self 技术，代表域管理员为 SPN HOST 获取服务票证 (ST)。
8. 使用服务票证向本地服务控制管理器进行身份验证，并以 NT AUTHORITY/SYSTEM 身份创建新服务。( SCMUACBypass )

先决条件

必须加入支持 PKINIT 的域（域控制器必须运行 Windows Server 2016 或更高版本）

必须位于域控制器拥有自身密钥对的域中（当部署了 ADCS 或设置了自定义 CA 时）。

目标机器上已安装并启用 WebClient 服务，或者处于“手动触发”状态。

╔════════════════════════════════════════════════════════════════╗║                      WebclientRelayUp                          ║║                       By @Hack0ura                             ║╚════════════════════════════════════════════════════════════════╝
Usage: WebClientRelayUp.exe&nbsp;-t&nbsp;<target>&nbsp;-c command [options]
Required Arguments:&nbsp;&nbsp;-t,&nbsp;--target <host> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;LDAP target server (e.g., dc01.contoso.local)&nbsp;&nbsp;-c,&nbsp;--command <cmd> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Command to run as SYSTEM via SCM UAC Bypass&nbsp;&nbsp;-d,&nbsp;--domain <domain> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Full domain name of the target (e.g. contoso.local)
Optional Arguments:&nbsp;&nbsp;-p,&nbsp;--port <port> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;HTTP port to listen on (default: 8080)&nbsp;&nbsp;-u,&nbsp;--user-to-impersonate <user> &nbsp; The username you want to impersonate (default: Administrator)&nbsp;&nbsp;--force &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;/!\\ Warning /!\\ Force the change of ms-DSKeyCredentialLink attribute&nbsp;&nbsp;-lp,&nbsp;--ldap-port <port> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;LDAP port (default: 389, or 636 for LDAPS)&nbsp;&nbsp;-s,&nbsp;--ldaps &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Use LDAPS instead of LDAP (default: false)&nbsp;&nbsp;-a,&nbsp;--auto &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; If used, disable auto-trigger EFS coercion. Enabled by default.&nbsp;&nbsp;-v,&nbsp;--verbose &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Enable verbose output&nbsp;&nbsp;-h,&nbsp;--help &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Show this help message
&nbsp;Usage example:&nbsp; WebClientRelayUp.exe&nbsp;-t dc01.contoso.local&nbsp;-u Administrator&nbsp;-c cmd.exe

https://github.com/Hack0ura/WebClientRelayUp

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《WebClientRelayUp – 一种无需修复即可在已加入域的 Windows 工作站中通用的本地权限提升方法》