文章总结： 本文系统讲解Windows提权技术，涵盖内核级提权（缓冲区溢出、逻辑漏洞、驱动漏洞）和本地错误配置提权（服务、注册表、计划任务、DLL劫持、令牌窃取、第三方软件）两大类。重点指出90%真实提权依赖配置错误而非0day，提出最小权限原则、漏洞修复、权限审计、启用安全防护、常态监控五项防御建议，强调守住权限边界的重要性。 综合评分： 86 文章分类： 渗透测试,内网渗透,漏洞分析,实战经验,安全建设

---

黑客在 Windows 系统下提权的主要手法

小智 小智

泷羽Sec

2026年3月23日 17:25 湖南

❝

从原理到实战，吃透 Windows 提权全逻辑，守住系统权限的核心防线

你有没有想过一个问题：黑客拿到你 Windows 电脑的普通用户权限后，最快多久能拿到系统最高控制权？

答案是：快的话，只需要 10 秒。

在网络攻防的世界里，提权是贯穿整个入侵链路的核心环节。拿到 webshell、钓鱼落地的初始访问权限，只是入侵的第一步；只有完成提权，拿到 Administrator 甚至 SYSTEM 权限，黑客才算真正「掌控」了这台机器 —— 才能随意修改注册表、植入持久化后门、窃取核心数据、横向渗透整个内网。

今天这篇文章，我们把黑客在 Windows 系统下最常用、最高效的提权手法一次性讲透，从核心原理、利用场景到对应的防御方案，不管你是网安入门新手、运维工程师，还是普通 Windows 用户，都能看懂、能落地。

本文由智榜样网络安全学习中心原创，已获得转载授权，本文将会在3天后删除，如有需要可关注后，查看原文黑客在 Windows 系统下提权的主要手法

前置基础

Windows 系统的权限是严格分级的，日常接触最多的 4 个权限等级，从低到高依次是：

1. Guest / 普通用户 (User)：最低权限，仅能执行基础操作，无法修改系统配置、安装软件、访问其他用户数据，是黑客入侵的初始权限起点
2. 管理员 (Administrator)：系统管理员权限，可修改大部分系统配置、安装软件、访问绝大多数系统文件
3. 系统权限 (SYSTEM)：Windows 本地最高权限，权限高于普通管理员，可直接访问内核、修改注册表核心项、控制所有系统服务，是黑客提权的核心目标
4. TrustedInstaller：Windows 系统核心文件的专属最高权限，主要用于系统更新与核心文件保护，常规提权到 SYSTEM 即可完成绝大多数恶意操作

而提权的本质，就是利用系统本身、第三方软件的漏洞、配置缺陷或设计逻辑漏洞，突破当前账户的权限边界，获取更高权限的执行能力。

业内通常把 Windows 提权分为两大类：内核级提权（一击致命的高危漏洞利用）和本地错误配置提权（90% 真实入侵中使用的通用手法），下面我们逐一拆解。

一、内核级提权

内核是 Windows 系统的核心，掌管着整个系统的硬件调度、内存管理、进程权限控制。一旦内核出现安全漏洞，黑客可以直接从任意低权限，一步到位拿到 SYSTEM 权限，是所有提权手法中威力最大、风险最高的类型。

1. 缓冲区溢出提权

核心原理：Windows 内核的系统组件、第三方驱动程序中，存在缓冲区溢出漏洞 —— 程序没有严格校验用户输入的数据长度，黑客可以构造超长的恶意数据，溢出覆盖内存中的指令地址，让内核执行恶意代码，直接以 SYSTEM 权限完成提权。

真实利用场景：

这是最老牌也最有效的提权手法，经典漏洞包括 MS08-067、MS17-010（大名鼎鼎的「永恒之蓝」），以及后续的 CVE-2021-1675、CVE-2023-28252 等。

image-20260310144540317

黑客的操作流程极简：

1. 拿到初始权限后，执行sysinfo命令查看系统补丁情况，匹配未修复的内核溢出漏洞
2. 上传对应漏洞的 EXP（漏洞利用工具），在低权限 cmd 中直接执行
3. 执行完成后，直接弹出 SYSTEM 权限的命令行，一步完成提权

image-20260310151036716

防御要点：及时安装 Windows「严重」级别的内核安全更新；禁用不必要的系统服务，缩小内核攻击面；开启 Windows Defender 的漏洞防护与内核隔离功能。

2. 内核逻辑漏洞提权

核心原理：这类漏洞不依赖内存溢出，而是内核本身的权限校验逻辑存在缺陷 —— 比如 Windows 的进程令牌管理、对象管理、系统服务机制中，没有严格校验调用者的权限，低权限用户可以构造特殊的系统调用，欺骗内核给自己的进程分配高权限令牌，直接完成提权。

真实利用场景：

最具代表性的就是PrintNightmare（噩梦打印）漏洞（CVE-2021-34527），漏洞存在于 Windows 自带的 Print Spooler 打印服务中。绝大多数企业服务器、办公电脑都会默认开启该服务，黑客只需拿到普通用户权限，一键执行 EXP，就能直接提权到 SYSTEM，甚至可以横向渗透域控制器。

image-20260310152656350

除此之外，CVE-2022-21902、CVE-2024-21345 等近年的热门提权漏洞，均属于内核逻辑漏洞，补丁修复前在野利用极为广泛。

防御要点：非必要场景直接禁用 Print Spooler 打印服务；及时安装对应漏洞的安全补丁；开启 Windows Defender 攻击面减少 (ASR) 规则，拦截恶意的打印服务调用。

手慢无！CN2香港服务器16H16G10M仅需30块！

3. 第三方驱动漏洞提权

核心原理：杀毒软件、游戏反作弊、硬件驱动等程序，会安装运行在内核层的驱动程序，一旦驱动代码存在缓冲区溢出、任意地址读写、权限校验不严等漏洞，黑客就可以利用这些驱动穿透到内核层，执行恶意代码提权。

真实利用场景：

目标系统已经安装了全量系统补丁，但第三方驱动存在未修复的漏洞，黑客可以借此绕过系统防护完成提权。比如网吧场景中，游戏反作弊驱动常出现此类漏洞，黑客可利用它提权绕过网吧管理系统；部分杀毒软件的驱动漏洞，甚至可以被用来关闭杀毒防护，同时完成提权。

防御要点：及时更新硬件驱动和第三方软件，不安装来源不明的驱动；开启 Windows 驱动程序强制签名，禁止加载未签名的恶意驱动；非必要不安装内核级的第三方程序。

提权案例：

1、使用whoami /priv确认当前用户的权限

image-20260320140713156

2、漏洞利用，比如CVE-2022-27518

image-20260320140816799

3、确认获取最高系统权限

image-20260320140849283

二、本地错误配置与第三方软件提权

很多人误以为提权全靠高深的 0day 漏洞，但现实恰恰相反：90% 的 Windows 入侵提权，都不依赖未打补丁的漏洞，而是利用系统或软件的错误配置。这类手法门槛极低、成功率极高，哪怕系统是最新补丁，只要配置出错，就会被黑客轻松提权。

1. 服务权限配置错误提权

核心原理：Windows 系统中，大量服务都是以 SYSTEM 权限启动运行的。如果这些服务的可执行文件、注册表配置项，给了普通用户修改 / 写入权限，黑客就可以替换服务的可执行文件，或修改服务的启动路径，等服务重启后，系统会以 SYSTEM 权限执行恶意程序，直接完成提权。

image-20260320141230684

两大高频利用场景：

• 服务文件权限配置错误：第三方软件安装时，创建的服务对应 exe 文件，给了普通用户修改权限。黑客直接将正常 exe 替换为恶意程序，重启服务即可提权。
• 无引号服务路径漏洞（路径截断提权）：服务的启动路径包含空格且未加双引号，比如C:\Program Files\XXX\service.exe。Windows 解析路径时，会优先匹配空格前的内容，黑客只需在 C 盘根目录放置名为Program.exe的恶意程序，服务重启时，系统就会以 SYSTEM 权限执行该程序。

黑客操作流程：

1. 用accesschk、PowerUp 脚本扫描系统所有服务的权限配置
2. 筛选出普通用户可修改的服务、无引号路径的服务
3. 替换可执行文件或修改启动路径，重启服务拿到 SYSTEM 权限

防御要点：严格配置服务文件与注册表的权限，禁止普通用户修改任何系统 / 第三方服务配置；给服务启动路径加上双引号，避免路径截断；定期扫描服务权限配置，及时修复错误。

2. 注册表权限配置错误提权

核心原理：注册表是 Windows 的核心配置数据库，存放着系统、服务、软件的所有核心配置，大量关键注册表项直接控制着程序的启动权限与执行逻辑。如果这些注册表项给了普通用户写入权限，黑客可通过修改配置直接实现提权。

image-20260320141409379

两大高频利用场景：

• 开机启动项权限泄露：HKEY_LOCAL_MACHINE下的Run、RunOnce等开机启动注册表项，里面的程序开机时会以 SYSTEM / 管理员权限执行。如果普通用户有权修改这里，直接添加恶意程序的开机启动项，重启电脑即可提权。
• AlwaysInstallElevated 提权：这是企业环境中最常见的配置错误。该组策略开启后，普通用户安装 MSI 安装包时，会以 SYSTEM 权限执行。当注册表中HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下的AlwaysInstallElevated均被设置为 1 时，黑客只需生成一个恶意 MSI 安装包，普通用户双击执行，就能直接拿到 SYSTEM 权限。

防御要点：严格管控HKLM下系统核心注册表项的权限，禁止普通用户修改；非必要场景禁用AlwaysInstallElevated组策略；开启注册表审计功能，监控关键项的修改行为。

3. 计划任务权限配置错误提权

核心原理：Windows 的计划任务（Task Scheduler）可设置定时执行的程序，大量运维备份、系统维护的计划任务，都是以 SYSTEM / 管理员权限运行的。如果计划任务的执行程序、脚本文件，放在了普通用户可修改的目录，黑客只需修改脚本内容，等计划任务触发时，系统就会以高权限执行恶意代码。

image-20260320141459317

真实利用场景：

运维人员为了方便，创建了定时备份的计划任务，执行的 bat 脚本放在了 Everyone 可写的共享目录中。黑客修改该脚本，添加提权恶意代码，下次计划任务执行时，就会直接拿到 SYSTEM 权限。

防御要点：计划任务的执行脚本必须放在权限严格管控的目录，禁止普通用户修改；定期审计系统中的高权限计划任务，清理不必要的任务；开启计划任务的权限审计。

4. DLL 劫持提权

核心原理：Windows 程序运行时，会按照特定顺序加载所需的 DLL 动态链接库。如果程序没有指定 DLL 的绝对路径，Windows 会优先从程序所在目录、当前工作目录查找对应 DLL。黑客可以构造与系统 DLL 同名的恶意 DLL，放在优先查找的目录中，当高权限程序运行时，就会加载恶意 DLL，以高权限执行恶意代码。

image-20260320141550052

进阶利用手法：

「Phantom DLL 劫持（幽灵 DLL 劫持）」，也就是劫持程序尝试加载但系统中不存在的 DLL。黑客只需构造同名的恶意 DLL，就能实现劫持，无需修改原有系统文件，隐蔽性极强，很难被杀毒软件检测。

防御要点：程序开发时必须指定 DLL 的绝对路径，启用 DLL 安全加载机制；开启 Windows 代码完整性保护，禁止加载未签名的 DLL；不在普通用户可写的目录中运行高权限程序。

5. 令牌窃取与进程注入提权

核心原理：Windows 中每个运行的进程，都有一个对应的访问令牌（Access Token），里面记录了进程的权限、用户 SID、安全标识符等核心信息。如果黑客能拿到高权限进程（SYSTEM / 管理员进程）的访问令牌，就可以将其复制到自己的低权限进程中，让进程直接继承高权限，完成提权。

image-20260320141620799

经典利用场景：

• 土豆系列提权：Rotten Potato、Juicy Potato、God Potato 等工具，利用 Windows 的 COM 组件、NTLM 中继机制，欺骗系统给低权限进程发放 SYSTEM 权限的令牌，在 Windows Server 服务器、域环境中成功率极高。
• 进程注入提权：黑客将恶意代码注入到 svchost.exe、wininit.exe 等 SYSTEM 权限的系统进程中，直接继承进程的高权限执行，既能提权，又能隐蔽行踪，规避杀毒软件检测。

防御要点：开启 Windows 令牌过滤机制，限制令牌的复制与窃取；禁用不必要的 COM 组件，拦截 NTLM 中继攻击；开启进程保护，禁止非授权进程注入系统进程。

6. 第三方软件漏洞提权

核心原理：除了系统本身，安装在 Windows 中的第三方软件，也是提权的重灾区，包括数据库软件（MSSQL、MySQL）、Web 服务器（IIS、Apache）、运维工具、办公软件等。这类软件常以高权限运行，一旦出现漏洞，就会成为黑客的提权跳板。

image-20260320141652942

高频利用场景：

• MSSQL 提权：企业的 MSSQL 数据库常以 SYSTEM 权限运行，黑客拿到 sa 账号权限后，通过xp_cmdshell存储过程直接执行系统命令，一步拿到 SYSTEM 权限。
• MySQL UDF 提权：通过自定义 UDF 函数，在 MySQL 中执行系统命令，利用 MySQL 的高运行权限完成提权。
• 运维面板、集成环境提权：宝塔 Windows 面板、PHPStudy 等工具，曾多次出现提权漏洞，黑客拿到 webshell 后，可直接从 IIS 普通用户权限，提权到系统管理员权限。

防御要点：及时更新第三方软件的安全补丁，不使用停止维护的老旧软件；严格限制软件的运行权限，不以 SYSTEM / 管理员权限运行非必要程序；禁用数据库中危险的存储过程与函数，遵循最小权限原则。

三、Windows 提权的通用防御体系

提权攻击的本质，是权限边界的突破。想要从根源上抵御提权攻击，只需做好这 5 件事：

1、遵循最小权限原则：是保障安全的重要准则，该原则是构建安全体系中极为关键且基础的部分，它如同坚固的基石支撑安全架构，确保系统及数据处于可靠的安全防护之下，是维护整体安全不可忽略的重要规范。普通用户仅被赋予必要的权限，日常使用的账户不会被授予管理员权限；服务软件，数据库仅分配运行时所需的最小权限，绝对不会以SYSTEM权限运行非系统必需的程序。

2、及时开展漏洞修复与更新工作：需定时安装Windows系统的安全更新，尤其是内核，权限方面严重漏洞的补丁；同时要同步更新第三方软件及硬件驱动，关闭不必要的服务与功能，从而缩小可能遭受攻击的范围。

3、严谨的权限管控以及审计操作：对系统服务注册表，计划任务，文件目录的权限配置进行定期审计，使普通用户无法改动高权限程序对应的文件以及配置；开启NTFS权限继承的管控机制，从而避免权限出现泄露情况。

4、启动系统内部所设置的安全防护措施，将WindowsDefender防火墙，实时防护机制，攻击面缩减（ASR）规则，代码完整性保障以及内核隔离等内置的相关功能开启，而这类功能能够对绝大多数的提权攻击起到阻拦作用。

5、开展常态化安全监控：其一启动系统日志以及审计功能，对权限变更，服务改动，注册表修改等敏感行为进行监控；其二定期运用提权扫描工具排查系统存在的错误配置情况，并及时修复风险点。

写在最后

最后想说的是，Windows 提权的核心，从来都不是靠多么高深的 0day 漏洞。现实中绝大多数的提权攻击，都是利用了最基础的配置错误和最常见的已知 Nday 漏洞。

网络攻防从来都是「千里之堤，溃于蚁穴」，黑客只需要找到一个小小的权限缺口，就能突破整个系统的防线。只有守住权限边界，做好最小权限配置，及时修复漏洞和错误配置，才能从根源上抵御提权攻击。

如果这篇文章对你有帮助，欢迎点赞、在看、转发给身边的运维、开发和网安爱好者，让更多人避开 Windows 提权的坑。

你还遇到过哪些 Windows 提权的场景？欢迎在评论区留言交流。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：泷羽Sec 小智 小智《黑客在 Windows 系统下提权的主要手法》