如果你获得了一台机器的低权限Meterpreter会话，并且当你测验考试了一些常用要领，仍然提权掉败时，是不是就意味着没法提权呢？不必着急，你仍然可以尝尝很多其它的技术。下面我们就来列举出几种提权要领。

一、Windows处事路径没加双引号

凡是，如果一个处事的可执行文件的路径没有用双引号关闭，并且包罗空格，那么这个处事就是有缝隙的。

如果你想验证这个缝隙，你可以在你的试验环境中增加一个有缝隙的处事，本身测试一下，下面咱们添加名为“Vulnerable Service”的处事，可执行文件放在“C:\Program Files (x86)\Program Folder\A Subfolder\”目录中。

为了识别出没有加双引号的处事，你可以在Windows命令行中运行以下命令：

运行上面的命令后，所有没有加双引号的处事将会被列出来：

如果你从注册表中检察注册的处事，你会看到“ImagePath”的值是：

安适的值应该是：

当Windows测验考试启动这个处事时，它会凭据下面的挨次寻找可执行文件，并运行第一个找到的：

这个缝隙是由系统中的“CreateProcess”函数引起的，更多信息请看这里。

如果我们能告成的把恶意EXE措施放在这些路径下，当处事从头启动时，Windows就会以SYSTEM权限运行我们的EXE。固然，我们需要有进入此中一个目录的权限。

为了查抄一个目录的权限，我们可以使用Windows内建的一个工具，icals，下面我们用这个工具查抄“C:\Program Files (x86)\Program Folder”目录的权限。

好幸运呐，你可以看到，“Everyone”用户对这个文件有完全控制权。

“F”代表完全控制。“CI”代表隶属容器将担任访谒控制项。“OI”代表隶属文件将担任访谒控制项。

这意味着我们可以随意将文件写入这个文件夹。

今后刻开始，你要做什么取决于你的想象力。我对照倾向于生成一个反弹shell载荷，并用SYSTEM权限运行。

这个事情可以使用msfvenom来完成：

然后将生成的载荷放到“C:\Program Files (x86)\Program Folder”文件夹：

然后，不才一步启动这个处事时，A.exe就会以SYSTEM权限运行，下面我们试着遏制，并重启这个处事：

访谒被拒绝了，因为我们没有遏制或启动处事的权限。不过，这不是一个大问题，我们可以等，直到有人重启机器，或者我们本身用“shutdown”命令重启：

正如你看到的，低权限的会话中断了，说明命令执行了。

我们的机器正在重启，此刻，我们的载荷将会以SYSTEM权限运行，我们需要当即在本地成立监听：

此刻，我们获得了一个SYSTEM权限的meterpreter shell。

但是，我们新得到的会话很快就中断了，为什么呢？