偵查

rustscan 掃描出多個 AD 相關服務與 8080、5985（WinRM）等開放埠。目標網域與 DC 資訊可從 RDP/SSL 憑證與 LDAP 回應觀察到。

列舉

造訪 http://<target-ip>:8080 發現網頁無明顯資訊，於是轉向內部服務列舉與驗證嘗試（WinRM）。使用 crackmapexec 測試憑證後發現 valid 帳號 enox，可用 evil-winrm 建立遠端 shell。接著在目標上跑本地列舉（net user、PowerView、BloodHound 上傳 JSON）以取得 AD 關聯資料。

漏洞利用（橫向移動）

用 enox 帳號登入 target（evil-winrm）。驗證該帳號屬於 Web Admins 群組。
利用 bloodhound 與 bloodhound-python 收集 AD 資訊，找出可讀 gMSA 密碼的帳號或群組關係。
下載並執行 GMSAPasswordReader.exe 以擷取 svc_apache 的 gMSA 資訊，取得其 NTLM/RC4 hash。
使用 svc_apache$ 的 NTLM hash 透過 evil-winrm 建立會話取得 svc_apache$ 權限。

提權

在取得 svc_apache$ 後做本地權限與權能列舉。發現帳號具備 SeRestorePrivilege。利用該權能可替換或回復系統檔案，具體步驟：

使用 SeRestorePrivilege 修改 C:\Windows\system32 中的 utilman.exe。將 utilman.exe 改名備份，將 cmd.exe 複製或重新命名為 utilman.exe。

透過 rdesktop 或 RDP 到登入畫面，觸發 Windows+U（輔助工具鍵）啟動 utilman，此時會跑被替換成 cmd 的 utilman.exe，獲得 NT AUTHORITY\SYSTEM 的命令列。

取得 SYSTEM 後即可完整掌控主機。