扫描

用masscan与Nmap工具分别输入以下指令:

masscan -p1-65535,U:1-65535 10.10.10.x --rate=1000 -e tun0 -p1-65535,U:1-65535 > ports?
ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')?

nmap -Pn -sV -sC -sU -sT -p$ports 10.10.10.90?

Nmap工具的扫描结果表明UDP 69端口（TFTP）正在运行，这是使用netcat验证的。

对感兴趣文件的渗透

（从上述结果看），获得整个系统的读写权限似乎是可行的。由于llisence.rtf文件只有在早于Windows 7的操作系统下才能隐藏，在查看了eula.txt文件后我们可以得知操作系统是 Windows XP Service Pack 3。

漏洞利用

恶意MOF文件的创建

根据以前有关Stuxnet Windows Printer Spooler vulnerability (MS10-061)的知识，或通过搜索Windows XP 的写入特权攻击，很可能我们的初始载体需要创建一个恶意MOF文件。

在Xst3nZ的博客里，他着重讲述了如何将恶意MOF文件变成武器（来发挥作用），很值得一读，我把他的博客原文链接放在下面：
http://poppopret.blogspot.com/2011/09/playing-with-mof-files-on-windows-for.html

Metasploit Framework 用恶意MOF文件通过与wbemexec.rb 文件混合来当作某些模块的payloads。相关链接：https://github.com/rapid7/metasploit-framework/wiki/How-to-use-WbemExec-for-a-write-privilegeattack-on-Windows

wbemexec.rb 按以下的方式进行修改并被执行来生成一个恶意MOF文件，Dropzone-mof文件下载地址为

TFTP传输与shell

TFTP 的 binary（二进制）传输模式是可用的，在MOF文件被上传到 “c:\windows\system32\wbem\mof ”之前，该MOF文件需要先上传到“c:\windows\system32”。

一个shell就马上被SYSTEM接收到。

NTFS数据流

在查看了电脑的管理者账户的桌面后，来源于 SysInternals Suite 的 streams.exe 文件被上传，user及root flag就可以得到了。