使用nmap扫描靶机端口，发现开放135、139、445、1433。通过smbclient连接失败后，查看配置文件获取数据库用户名和密码，使用mssqlclient登录SQL Server并启用xp_cmdshell。生成payload并通过powershell下载，获取user flag，查看历史记录获取administrator密码，最终通过psexec和evil-winrm获得root flag。

Psexec是Sysinternals Suite中的一款工具，由Mark Russinovich创建。它允许在其他系统上远程执行命令并提供实时交互。Psexec可以用于显示无法通过其他方式获取的远程系统信息。它通过上传PSEXESVC.exe到远程系统并创建一个运行它的服务来工作。Psexec通过命名管道重定向进程的输入/输出。Psexec需要满足一定条件，如开放的SMB端口、明文密码或NTLM哈希、对共享文件夹的写入权限以及在远程系统上创建和启动服务的能力。SMBExec类似于Psexec，但不会将二进制文件放在磁盘上。它使用批处理文件和临时文件来执行和转发消息。SMBExec还使用SMB协议进行输入和输出。