一封不敢給你看的情書

親愛的你：

我最近一直在學 Windows 提權，
試著看懂每一個 Access Token 的結構、每一個 SID 的意圖，
結果不小心，把自己給提權到只想靠近你

你總是靜靜地像個 NT AUTHORITY\SYSTEM，
我一靠近就被拒絕存取

我想 impersonate 你，但我沒開 SeImpersonatePrivilege，
只能偷看你留在 memory 裡的句點與空白

我以為愛是個 named pipe，
可以用 Juicy Potato 或 PrintSpoofer 搭起連線，結果我才剛連上，就發現你心裡沒有被開 Access

我試過列你服務的權限，
accesschk.exe /accepteula -uwcqv “you” *
結果回傳都是 Access is denied.
可能我還不是 Backup Operators，無法 restore 你過去的安全描述

我也試著執行 whoami /priv 對我自己，
發現我沒有 SeDebugPrivilege，
無法附加在你那個 run as SYSTEM 的 process 上

但我沒關係…
我可以慢慢 enumerate，靜靜觀察，
從你的環境變數、服務列表、到 Scheduled Tasks，
我願意走一遍整個提權流程，只為了確定你現在過得好不好

如果你哪天願意給我一點 RDP 的視窗，
讓我登入你的人生桌面，
我保證──不亂跑、不 dump memory，
只會靜靜陪你 netstat -ano，
看你是否還記得我在 listen

小語

# 技術，我可以嘗試 ...
# 可我不知道，該怎麼提權到你心裡
# BTW 你去了 DEF CON 真的是帥死了！
# 但我只能遠遠看著你飛