使用nmap扫描靶机端口，发现开放135、139、445、1433。通过smbclient连接失败后，查看配置文件获取数据库用户名和密码，使用mssqlclient登录SQL Server并启用xp_cmdshell。生成payload并通过powershell下载，获取user flag，查看历史记录获取administrator密码，最终通过psexec和evil-winrm获得root flag。