利用 Remote Mouse 服务存在的远程命令执行漏洞获取 divine 用户权限并取得用户旗帜，随后通过解码 FileZilla 配置文件中的明文凭据实现 RDP 登录，在此基础上结合 Remote Mouse GUI 本地提权漏洞完成权限提升，最终获得 SYSTEM 权限并获取管理员旗帜。

通过 Web 信息收集并猜测用户凭证成功登录 Monstra CMS 后台，一种方式是直接在源码中写入 webshell，另一种方式是获取源码备份并提取 Mike 用户的密码哈希后分析其加密方式并使用 hashcat 破解，通过 RDP 登录获取 Mike 用户权限并取得用户旗帜；随后利用 xampp 存在的本地提权漏洞完成权限提升，最终获得 administrator 权限并获取管理员旗帜。

通过两种路径获取初始访问：其一，利用 HTTP 33033 后台的用户密码重置逻辑结合页面信息收集，在 HTTP 45332 的 phpinfo 泄露与后台 SQL 注入条件下写入一句话木马；其二，直接通过 BarracudaDrive 后台文件管理功能上传反弹 shell，均成功获取 jerren 用户权限并取得用户旗帜。随后利用 BarracudaDrive 存在的不安全文件权限问题实施本地提

通过利用 HTTP 服务存在的远程文件包含漏洞获取 rupert 用户权限并取得用户旗帜，随后发现系统 Backup 目录中的可执行程序存在权限配置缺陷，通过替换或修改该程序实现权限提升，最终获得 administrator 权限并完成管理员旗帜获取。

通过分析 HTTP 8089 服务的网页源码定位关键接口路径，并对接口进行模糊测试发现可获取系统进程信息的接口，从进程输出中泄露的凭据成功获取 ariah 用户密码并通过 SSH 登录取得用户旗帜；随后破解受保护的 PDF 文档以确认接口命令执行方式，利用该接口执行反弹 shell或直接创建管理员用户，最终完成管理员权限获取。

通过 SMB 匿名访问获取初始线索并成功登录 WordPress 后台，在后台页面中写入反弹 shell 获取 shenzi 用户权限并取得用户旗帜；随后运行 WinPEAS 进行信息收集，发现系统存在注册表不安全配置，导致 MSI 安装程序默认以 SYSTEM 权限执行，利用 msfvenom 构造包含反弹 shell 的 MSI 文件并触发执行，最终获得 SYSTEM 权限并完成管理员旗帜获取

通过对 HTTP 8000 服务进行信息搜集构建密码字典，利用 Hydra 对 IMAP 协议实施暴力破解获取用户邮箱凭据并枚举邮件内容，随后使用 sendEmail 投递携带 LibreOffice 反弹 shell 宏的表格文件触发执行，成功获取 Ela Arwel 用户权限并完成用户旗帜获取；进一步发现 veyon 服务存在服务权限配置缺陷，通过替换其运行二进制并重启系统触发服务重启，实现

通过 Argus Surveillance DVR 目录遍历漏洞获取用户列表并确认有效用户名，进一步读取对应的私钥文件成功获得 viewer 用户权限并拿下用户旗帜；随后从 Argus Surveillance DVR 用户密码文件中提取凭据并结合 CVE‑2022‑25012 完成密码破解，获取 administrator 用户密码后利用 PsExec 进行横向移动，最终获得系统 adminis

通过配置 Squid 代理对靶机进行转发并枚举其本地开放端口，发现 3306 与 8080 服务，进一步确认 phpMyAdmin 后台存在空口令问题；结合 phpinfo 页面实现文件写入并植入 webshell，成功获得 SYSTEM 权限，直接完成用户与管理员权限获取。

通过 enum4linux 对域环境进行枚举获取 V.Ventz 用户线索，进一步对 SMB 共享进行枚举发现 system 与 ntds.dit 文件并提取用户哈希，结合 nxc 工具完成密码破解后成功登录 L.Livingstone 用户并取得用户旗帜；随后通过 BloodHound 权限分析发现 L.Livingstone 用户对域控制器具备 GenericAll 权限，滥用该权限实现权限提