高階立即查詢確定最高許可權完成新增

舉個小例子，你用@basierL的回答，得到一個系統許可權之後：

例如路徑C:\Windows\servicing，使用system許可權無法在該路徑建立檔案。

檢視資料夾屬性，顯示system不具有寫入許可權，只有TrustedInstaller可以,如下圖:

啟動TrustedInstaller服務會啟動程序TrustedInstaller.exe，位置為C:\Windows\servicing\TrustedInstaller.exe，在powershell下檢視該程式許可權：

Get-Acl -Path C:\Windows\servicing\TrustedInstaller.exe |select Owner

顯示為NT SERVICE\TrustedInstaller，如上圖。

關於如何獲得TrustedInstaller許可權，可參考James Forshaw的這篇文章，很值得學習。

https://tyranidslair.blogspot.nl/2017/08/the-art-of-becoming-trustedinstaller.html

國外駭客James Forshaw的實現思路為借用TrustedInstaller.exe的token建立子程序，這樣子程序就有了TrustedInstaller許可權，具體powershell程式碼如下：

Set-NtTokenPrivilege SeDebugPrivilege$p = Get-NtProcess -Name TrustedInstaller.exe$pc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

powershell預設不支援Set-NtTokenPrivilege命令，該模組需要下載安裝

下載地址：

https://www.powershellgallery.com/packages/NtObjectManager/1.1.1

安裝命令：

Save-Module -Name NtObjectManager -Path c:\testInstall-Module -Name NtObjectManager

Save-Module需要powershell v5.0支援，正好WIN10支援power5.0。

然後我們再執行程式碼：

Set-ExecutionPolicy UnrestrictedImport-Module NtObjectManagersc.exe start TrustedInstallerSet-NtTokenPrivilege SeDebugPrivilege$p = Get-NtProcess -Name TrustedInstaller.exe$proc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

最後執行whoami /groups /fo list，發現你獲得的CMD已經有了TrustedInstaller許可權。

這個方法還是很複雜的。如果使用metasploit下的incognito也能夠獲得TrustedInstaller許可權。但是需要安裝metasploit，我就不再舉例了。

再說一下@BaSierL的獲取系統許可權的方法，其實用psexec一條命令就可以做到。

psexec.exe -accepteula -s -d cmd.exe。

不過這是一個很冷的知識了，一般人都不會想到WIN10最高許可權為TrustedInstaller。