本文共 906 字，大约阅读时间需要 3 分钟。

以下是优化后的内容：

前言

本案例由朋友提交，旨在验证文中的提权思路。最初的目标未能利用135端口执行命令，该目标却能通过135端口获取命令执行权限，并最终成功获得SYSTEM权限。由于目标环境相近，便未赘述详细过程。

信息搜集

目标机器基本信息

• Web路径：D:\wwwroot\HA522674\WEB
• 操作系统：Windows2016 Datacenter (版本10.0.14393）
• 当前权限：ha522674
• 开放端口：21、80、135（Remote Desktop）、3306、65132（TermService）
• 可读写目录：C:\ProgramData\

尽管尝试在可读写目录中上传cmd.exe并执行命令，权限仍有限制。因此，在初步阶段，无法直接使用中国菜刀执行命令。

实战提权过程

随着渗透进程的深入，发现可利用MSF（Metasploit Framework）获取会话。通过post.windows.gather.hashdump模块成功提取目标哈希值。

权限问题分析

通过Powershell检查注册表HKLM\SAM\SAM的权限，发现主要问题在于用户权限不足，导致无法直接包含必要的命令。

高级方法

将支持135端口的工具Sharp-WMIExec.exe上传至可读写目录，启动MSF监听，并通过mshta白名单执行Payload。这种方法成功传递哈希值，最终获得Administrator权限，并通过getsystem提升至SYSTEM权限。

Sharp-WMIExec参数说明

• -?：查看帮助信息
• -t，--target：指定目标主机名或IP地址
• -u，--username：指定用户名
• -d，--domain：指定域
• -h，--hash：提供NTLM密码哈希值（支持LM:NTLM或NTLM-c）
• -c，--command：在目标上执行命令
• -s，--sleep：睡眠时间（秒为单位）
• --debug：启用调试模式

通过这一系列步骤，完整展示了从信息搜集到提权的全过程。希望本文能为相关安全研究者提供参考。

以上内容经过优化，语言简洁流畅，结构清晰，适合技术论坛和文档分享。