合天网络安全笔记-十三-

合天网络安全笔记（十三）

P65：第34天：EW创建 Socks代理实战 - 网络安全就业推荐 - BV1Zu411s79i

通过这边的这个网卡把它给发送到这个2。2，这个机器的那个啊半联端口对吧，应该是外网服务嘛，它会发生过去，发送过去之后的话，他就会呃就是进行相应的一个请求嘛对吧，然后的话就能够去得到我们这边的这样子的。

一个呃内容对吧。

然后呢同理，其实呃二层的一个代理通的话，它就中间只是多了这样子一个流量的一个转发。

因为我们，08：50，我这边切一下诶，这边第第一节课的话已经到时间了，我这边下下课，然后的话等会。

好我们继续啊，刚才的话讲到了就是一层代理的时候，它的一个流量的一个走向对吧，其实二层的一个单元的话也是一样的一个道理，就只是在这边的话。

它中间多了有这样子的一个流量的一个转发，我们可以结合一下这边呢它的一个配置文件，来去理解吧，首先的话在这边是我的一个外网的一个web服务，对吧，它会这边的一个客户端的话。

他会去迎接我们这个v p s上面的，这个7000的一个端口对吧，然后的话建立一个代理通道，好建议代理通道之后的话，我这边的话我就能够去访问到这边的呃。

这这边的这个机器对吧，这边的这个机器就能够去访问到了，然后的话我们还要去访问，就是说三三哦，就是说去访问2。2啊，不是访问三三这个机器的话对吧，我们是要通过这个二，这个机器才能够去访问到的对吧。

然后这个二这个机器跟这边的这个机器，它是能够互相访问的是吧，那么在这个时候的话，我们就需要有这样子的一个通道，就是尽力就是尽力这边的一个2。2啊，我我以这边这一个ip啊，就是这边它同一个网段嘛，因为2。

2这个机器对吧，与这边的2。1的这个机器，要有这样子的一个通道对吧，因为我们的一个请求的话。

我们要能够去发送到这边的这个呃，三三这个网站，那么我在这边其实就是相当于就是说在这边呃，2。1跟2。2之间，我们还需要有一个这样子的一个代理通道，因为我只有把这边把我的一个请求。

或者说把我这边的一个内网的这个网站，把它带你出去，我才能够说能够去访问到，或者说以流量的一个形式的话，就是我这边的这里。

我的一个请求发送到了这边的这个机器对吧，然后的话我想要呃把它发送到我这边山上，这个网站的话，我中间需要有这样的一个代理通道，把我的一个流量把它给带你到这边来对吧。

所以的话我们在这边的话，就需要有这样的一个操作，就是我通过这边的这一个呃a。

不算。

我通过这边呃，就是这边的这个2。1的这个机器对吧，我再去建立这样的一个f r p s，通过f r p s来去建立这样子的一个，去监听一个端口对吧，作为一个f ip的一个socks的一个服务端。

然后在这边2。2这个机器的话，我在运行我这边的一个f i p c对吧，运行我这边的一个fpc客户端，然后的话与我这边的这个2。1的这个机器，建立一个连接，来去建立一个收拾的一个通道对吧。

那么建立这一个说是通道的话，我们要去要把我们那个请求，要能够去代理到这个通道的话，在这边的话我们就需要有一个端口对吧，其实啊就是这个10089的一个端口，然后这个20089端口的话。

他就会在这边进进入今天嘛对吧。

在这边的这个2。1的这个机器，今天这样子一个1089的一个端口。

然后我们最后的话还有这边，就是说我通过这边建立了一个连接，我的一个请求到了这边对吧，那么我要去把我的一个请求，再把它转发到我这边的，这个10089的一个端，说的话我需要有这样的一个配置。

然后呃在这边的话就是说我要去建议这，我要去进入这边呃，2011的这个机器，跟我u p s进行了一个代理通的话，我需要通过这一个109年的一个端口对吧，那么我的一个实际的一个流量流量请求。

比如说我这边的一个web服务对吧，33。33去访问这个33033，就是假如word，那么我的这一个web请求，我请求之后的话，我这边的一个代理代理通道的话，我是要去就是通过我这边的一个九零这个对吧。

然后的话来去进入这边的一个代理通道。

把我这个请求代理代理代理进去，带你到这边的这个机器对吧。

然后的话带你到这个机器是上面的话，我这边是访问的是三三对吧，那么我三三的话是在这边，所以的话我需要把我这边的一个请求，再把它转发到这边的一个呃，这边的2。1与这边202这个机器之间，建立的一个代理通道。

也就是通过这边的这个10089的一个端口，其实就是把这边从20090端口过来的请求，把它给转到这边的一个端口，也就进入到了这边的呃，这边这两个机器之间建立了一个代理通道对吧。

然后的话这边的一个请求的话就带你到了这边，那么它就能够通过这边的一个网卡来去访问到，33。33的一个八零端口是吧，呃这里能大家能理解吗，大家呃能跟得上我的思路吗，应该可以吧，就呃就张三没问题吧。

其他同学呢，就大家觉得我就是呃可能讲的快了，或者说哪里没讲，没讲明白什么的，都可以提出来，可以是吧，ok那那么我们具体的来操作一下。

我们具体的来实现一下。

就其实呃他的一个远，它的一个具体的操作，我刚刚其实已经也讲了对吧，以及为什么要去这样子的一个操作，而在这边的话，首先的话我们需要在fi呃，我们那个u p s上面对吧，这边是去，我直接关了吧，我直接断了。

我重新来吧，然后呢，就怕大家可能不是很理解，是首先的话呃，我在我的一个u p s上面对吧，我要去今天一个端口，来等待我们的一个客户端的一个零件，我这边的话就是fp c一点，对吧。

然后我这边的话就今天的一个7000的一个端口。

今天这个端口之后的话，我再通过。

我这边得到的，通过这边得到的这个外网的这个外服的一个shell。

对吧，上传我这边的一个f点，把pc的一个客户端是吧，我这边的话上传在这边，然后的话给他一个执行权限，然后我呃我先看一下有没有还有没有，放屁，我这边的话把这些都删了，可以看到我这边有自行开发p s。

这是我之前测试的，我这边把它给跳掉，你还有钱，啊现在的话已经没有了对吧，然后的话我在这边我要去与我这边的，这里的一个通道去建立一个临界呃，刚开始的第一种的话就是通过通过这样子的啊，通过这边啊。

通过这里对吧，我通过f r t c去指定这边的一个通道，区间的一个零件是吧，那么下面的话我想要去把我的一个能量，就是我这边的话，直接就用这边的一个配置文件是吧，那其实在这里的话。

其实同样的也能够去做一个，与他那个去建立一个代理对吧，然后的话通过10088的一个端口好，我这边的话要去进行一个20段的话，我指定这边的这个是一吧，1。22。

来去这边去进行一个零件对吧，然后可以看到在这边呃，有两个prox已经就是建立成功了对吧。

然后建立建立成功之后的话，我在这边的话对吧，我在这边的话就有了，我们可以看一下，我在这边的话就与这边去建立了一个连接对吧。

然后的话我在这边的话就有他会去，今天这个端口不，这里的这个代理端口，那么我现在的话就能够去通过这个代理端口。

来去访问2。2那个网段对，然后因为前面的话我们已经得到了这个，请通过前面的那个对吧，已经得到了他的一个sh对，那么我现在的话只需要再通过这边的一个代理，通过原来的一个代理对吧。

然后的话得到这边的一个选嗯。

请回，啊是没有问题的，因为我们在这块，其实同样的静静的这样的一个代理吧，然后我通过这边的一个11088，我同样的能够去访问这个这个网段啊。

然后下下面的话，我要把我的一个流量把它给转到，比如说把它给转到这个三三这个网站。

我们就需要去做这样子的一个操作。

首先的话第一个就是在我这边的嗯，这边这边的这个tag的一上面，我需要通过，f i t s来去，今天一个端口来去等待这边的，我这边二的这个呃，f p在客户端来去进行一个连接，对吧啊，这边的话是rpc。

应该是吧，就这个f p s是吧。

到这里，然后在这里的话，我们可以来看一下是否可以执行，成了执行成功的，左边m p s对吧，可以看到这句话已经执行成功了，然后他在这边本地的话，就进行了这样子的一个端口，这个端口的话就是七把好，我七星。

七七那个端口对吧，已经处于一个精心的状态，好我们在这边的话，再通过侧边来去建立一个，你建立一个sos的一个连接，执行这边的一个fp r f r p c，执行之后的话我们的一个配置文件对吧。

我们可以看一下我们的一个配置文件的话，它会是在呃我们那个f r p s上面，他会去今天一个这样的一个。

10089的一个端口，那么我们去判断它是否建立连接的话，我们就可以去查看一下它和这个端口，它是否有一个今天的一个状态，0089对吧，可以看到已经处于一个精神状态。

那么现在我们经历了这样的一个连接之后对吧，经历了这样的一个连接之后的话。

我们再通过呃。

比如说呃这个还是比这个机器为例。

我们需要去更改一下我那个配置，因为我们这边的一个代理端口的话，已经定了是吧，现在的话是阳明经，然后我们通过prox chains同样的来去扫描一下，这个192。268。3，3。33，这个主机。

没经验成功，等一下按键。

啊我这边还要发pc端，掉了又，这个用通过这样子这个方法它有缺点，就是比较容易断，我这边的话呃。

其实从这边应该也能看到对吧。

这就是我这边的一个啊sos的一个代理的话，已经就是被关闭了。

所以的话我这边就是找这找找这个问题的话，就是我这边的一个fpc对吧，没有跟我v p上面的一个发p，去鉴定了一个连接啊，这个是一点，又要从头来一遍，信号应该是没问题的。

这里的话也已经进入了临界对吧，然后的话我们在我另外的一个服务器上面。

还去进行一个对吧，通过map来去对它做一个扫描，可以看到这段话，ok他ok就是3389端口开放了对吧，还有445，135等等这些端口，139它是一个开放的一个状态，那么说明的话我这边的一个通告的话。

就是已经进入尽力尽力成功了对吧。

是没有问题的，然后以及对吧，我这边可以通过，可以通过全局代理对吧，因为我前面的话已经就是我后面后，后续的一个操作，就对windows的一个机器吧对吧，就windows那个机器的话呃。

我们可以就在msf当中去设置，那样子的一个概念，就是设置全局代理，让我们msf的一个流量走，我这边的这样子的一个代理通道，就是呃这个47。102。214。85，然后这个20090这个ip这个端口是吧。

前面在讲msf的啊，不再讲m s f跟cs啊，灵动的时候不是啊，cs上面的话它会有这样子的一个啊，就是生成一个这样的一个命令，就是seer啊，sc机，pro keys是吧，so i对。

然后的话接我们的一个i p，以及端口是吧，然后其实在msf在msf当中的话，我们同样的可以就是通过这样子一个方法，这个方这里的话就是设置的计划，就是设置一个全局吧，就设置一个全局代理。

就是在msf当中所有的这样的一个流量，就是呃比如说我msi msf去打m1730209 ，它有相应的请求以及发送相应的一个po的，那我这边设置这个代理之后的话，我要去打这个192。16，8。33。

33这个机器对吧，那么我再去设置那个po的时候，我可以去设置这样的一个代表，然后的话设置这个ip，然后只直接explore就可以了，然后他的这样子的，他打在打这个ip的这个流量的话。

它会通过这边的一个代理通道，它会把它发送到这边的，我这边的一个靶机的这个对吧，这个靶机的45的一个端口是吧。

然后的话呢去进行一个漏洞的一个new，然后这边的话我就大家自己做一个课后作业，大家自己去尝试好吧，然后呃，其实大家现在可以就通过我这边的这个代理，就是在我这边的这一个，10090对吧。

以及还有10088嘛，通过这样的一个代理，你可以去访尝试访问，这还有个10088对吧，1688的话，你可以去访问那个192。168。2。2，这个ip嘛对吧，你你在你自己本机上面连浏览器里面。

你设置这样子的一个代理的话，你也同样的能够去访问到我这边的这个。

这是。

这是谁给我改了，这么快吗，是不是谁谁把我给改了。

把我的，是你们你们有谁改了吗，看一下，你放个放个答案吧。

没有，啊不是这个机枪，这个，诶没有啊。

那怎么了。

你们你们是不是你们谁改的呀是吧，是你们谁改了，改了那个英带x的那个页面吧，把他首页给改了。

你们现在也可以通过这样子的一个方法去访问，到，就通过我这边的一个代理呃。

呃然后的话我们继续看p p t的一个内容，就是呃后面的一个操作的话，就是也是一样的嘛对吧，同样的就是信息收集嘛，对这一个ip ip，然后的话以及这边的一个45端口的，一个是利用对吧，就通过啊。

我们那个mi mi 11一七杠010是吧，然后这边的一个他的一个应用的话，就是通过这样子，就我们就是这边sc pros props，当然的话你就是说这边呃，我这边的话是只在这一个模块下面。

就是说我这边set这个单元的话，是只只针对这个模块它的一个请求，流量的话，它会走我这边的一个收拾的一个通道，然后的话如果说你设的是你设的是sg，你设的是设计机的话，那么就是说msf下面所有的这种模块。

或者说你的这样子的，你的这样子的一个请求，他都会通过这边的一个说辞的一个代理通道，就是这边的话是一个全局，这边的话就是一个针对这个，当前的一个模块是吧，然后设置代理的话是这样子，sox 15。

这样我们的一个ip以及端口啊，然后呃我们可以看一下这边我这边的一个截图，我这边就不操作了，就最后的话呃它的一个效果的话，就像这样子，然后得到了他的一个选，以及呃33890接的话，我这边好像也不连接了。

跟上节课的话一样的对吧，我只要带你冲到，我尽力尽力正确的话，那么请这一些操作它都是会没有问题的，然后以上的话就是f r p的这样子的，一个代理工具的使用，大家能理解吗，啊对刚刚的话是20090呃。

还还有啊对，这边我还是要说明一下，就是我ppt里面的话，因为我ppt有些是用的上一期的对吧，所以的话呃这样子的，像这种ip以及它的一个配置，然后我有我这里我这边的话也有就是有改对吧。

就是可能没有是可能没有统一对吧，他没有去统一这样子的一个i p以及这种端口，所以大家再去看我ppt的时候，你不要去照着那个照着我这边去写的对吧，你看你看这上上面跟下面不一样是吧。

你就哎你就你就不知道它是什么了对吧，你不要被我这边的一个ip以及端口给误导了，好吧，因为呃有同学就是有同学，就因为这个那个当然他那个是确实是，我就是改了上面那部分，我下面那部分的话就改这个呃我的问题吧。

就是这边也提一下，就是大家不要被这个ip端口误导，就你这边实际的一个ip端口，跟按你实际的一个情况来定，做成服务呃，你可以这样的，但是就没没太大必要了是吧，反正你就就用一会，用一会就关了。

啊应该没有问题吧，大家有问题吗，没问题的话，那么我们继续呃，下面的话就是我们的第二部分，也就是呃ew ew这个工具的话，就比较老的一个工具也是这样的话呃，它的一个功能的话就是也是很强大的一个工具。

而同样的我们的一个场景的话呃，跟前面的一个场景是一样的哦，首先的话我们先来大概的了解一下，就是1w5 它的一个基本的一个使用吧，就这边的话，我这边这张图的话，就有它的一个基本的一个选项。

其实这边的这个选项的话，关于这个工具大家可以去看它的官网啊，没有不是。

等一个，这边，所以去这边去看，这边的话是1w的这个工具的一个下载，也可以在这块上面这边去下载了，把这些东西，这个的话就是它的一个可执行文件嘛，然后在这边的话有一个read me read main。

这边的话其实就已经详细介绍这个工具的使用，就这边的话它呃有逆子啊，有图对吧，以及文字就这边的话很详细了呀，以及它的一个参数，它的一个具体的一个使用，就这个这个的话是作者啊写的作者提供的。

所以这边的这个工具的话呃，我不会去讲的很细，你只需要知道大概用就好了，然后的话你想要去去了解更多的话，大家自己去尝试好不好啊，呃这边选项的话我也不多说啊，就是大概的看一下吧，呃就我们在后面会有去用到的。

像我们首先第一个就是杠s，干s的话就是呃其实在这边也都会用到它，主要的他其实也就这几个选项，就是干基干f干一干d干干s，要杠的话就是设置我们的一个就是状态，或者说设置我们要去使用的一个模式。

然后在这边的话它有这样子的，1234566个模式，这六种模式的话，它分别对应的一个艺术，可以看一下这表，首先第一个的话就是这个啊指定这一个s soft，指定这个话它表示的是一个正向的一个代理。

然后r c socks反向代理流量转发，然后r c socks啊，不rs socks它也是呃反向代理，然后的话它的它可以反弹我们的一个soc，然后还有就是lcx listen啊，train。

还有slave，然后大家如果有就是有用过lcx这个工具的话，对这你的命令的话应该应该不陌生对吧，他的这个工具的话，它有接近这边的一个呃l cx的这样子的一个呃，方法，好杠l的话就是打开一个端口。

就是其实就是今天一个端口嘛是吧，然后干d的话，就是指定我们反射的一个主机地址，这边的一个反射主机的话，其实就是我们要去，如果说我们要反弹一个socks到我们的一个呃。

我们的一个socks的一个服务端对吧，那么那么在这的话我们就需要去设去设置对吧，去设置我们的要反弹的，这要反抗这个socks 5的这样子的，一个主机的一个地址，以及它的一个端口对吧。

嗯其实就是跟我们前面f2 p对吧，sery dreams so cod对吧，我们在这边的话，如果我们用这个r c r s宋词对吧，来去反他一个双子，然后的话它其实就是会去连接这边的一个反射。

主机的一个地址及端口，来去建立一个所属的通道，然后gf的话就是呃设置连接主机的一个例子，就是我们主动的去进行一个连接啊，以及连接的一个端口，然后具体的话我们和以实力，以实际的一个例子来来展示呃。

在这边的话，我这边ppt其实已经写的很详细了呀，然后的话还有的话就是预习内容，这边的话给了两个文档。

给一个就，就这个首先呃这个1w这个工具，它的一个详细的一个使用，以及这边的一个截图的话，就是呃以这边的这，你这边的这个靶机作为一个实际的一个例子，大家可以去看一下这篇，这个我这边写的这个笔记吧。

然后首先的话就是这个正向的一个socks，的一个服务器啊，用ew来去创建，我们在这边的话，就只需要使用这个杠s指定这个soc，啊我们前面有介绍对吧，这个socks的话就是正向代理嘛对吧。

我们就是杠s指定啊一个正向单元的一个模式，然后杠l的话就是今天一个端口是吧，然后这边的一个今天的一个端口的话，其实就是我们的一个代理的一个端口，然后我们要去呃，去访问这边它的一个呃代理的。

这样子的一个网络的话，我们就可以通过这里的一个端口，来去进行一个访问，啊我这边的话实际来看一下吧，把电话关了呀，直接断了，然而1w的话，就是这边这个工具呃，直接直接执行的话，有详细的一个帮助信息啊，啊。

然后我这边的话要去建立一个正向的一个代理，比如说我要做的一个代理的话，就是这个嗯打，不是说，1888的一个端口是吧，然后我这边去建立的这个的话，那么我单纯啊，在这的话它有进行一个1888的一个端口。

这样子的一个代理端口，那么我而这一个正向的一个代理，它是什么样子的一个效果呢，就是。

比如我在这里，我在这边的这个linux上，首先的话我通过这个process trance是吧，因为我要去找他的这样子的一个代理是吧，好嗯嗯对，就是这样，就是1888自己再装。

好我现在的话通过这个protech来去访问，我这边访问的话就访问这个比呃，这边的话因为他没有开八零的一个端口。

所以他time out，我这边的话就在这个机器上面，我通过开展对吧，来开一个htp的一个server，然后这边的话是今天在8000的一个端口对吧。

那么我现在在这个话，我来去访问这边的大清的一个端口对吧，你会发现我这边的话，我通过这边的一个代理的一个端口对吧，能够去直接通过访问它的一个127点点一，还去访问他本地的一个端口是吧。

因为其实我们这边的一个经历了一个代理，充当的话，等于就是呃，把我那个请求已经带领到了，他的这边的一个网段了，或者说你也可以把它理解成，就是我把他的一个这边的这个网站，把它给带领到了我这边对吧。

我们可以通过这边的一个通道来去访问对吧，然后其实呃在浏览器当中的话。

2027哎呀防御，嗯好像不能打是吧，高中。

啊不能这样啊，直接通过这样子的一个方法，直接这样子来请求，其实这边的一个实际的一个内容的话。

就是呃就是访问的是我这边的一个，这这个嘛对吧，就是这里的这些东西嘛，其实这边的话它的一个内容的话，其实就是这边的一个代码是吧，他这个网页代码。

这边的话就是一个正向带点啊，就是我直接通过这个soccer，然后把我当前的这边的一个网络，把它给代理出去，然后的话我再通过这边的一个代理，我主动的来去访问到他的一个，当前的这个网站是吧。

就是当然的话他有前提，就是你你是能够去，能够去直接去访问到这边的一个代理对吧。

好啊，现在就是反弹的一个sos的一个服务器啊，反弹sos服务器的话，我们这边的话主要用到的是这里的两个模式，就是r c socks就反向代理嘛，一gr s socks它同样的是一个反向代对吧。

然后它的一个作用一个是流量转化，一个是反弹的一个socks，然后我这边的话我要把我的一个目标机器，把把我的一个目标机器啊，通过反向的反向代理的一个方式，把它给代理出来。

是那么呃我们的一个具体的一个操作的话。

就是像这样子。

怎么还有连接呢。

换一个端口，我这边的话呃，这边的这一个，这边的这个话是在我的一个呃v p s上面对吧，在我的一个v p s上面去执行的，然后这边的这个数这呃，这边的这一个啊命令的话它是什么意思呢。

首先的话干s他指定我这边的一个模式，是这个反向大对吧，然后它是一个流量转发的一个作用，这边的一个流量转发它呃具体是怎样子呢，就是我这边干l今天呢是在本地，它是今天这样子。

那个1888的这样的一个端口对吧，这个端口的话其实就是我们啊代理的一个端口，就我们通过这边的这个端口来去进入，这边的一个代理通道，他他会在这边他会有这样的一个操作。

就是我去比如说我一个hp的一个请求对吧，我去我把我的一个请求发送到这个端口上，它会把它这边的一个请求的一个流量，它会通过这边的一个7788的一个端口，所建立的一个零件，在这里建立了一个连接，怎么理解呢。

我们先，看一下，我这边找一个我这边内网的这个机器人。

这个。

因为我这边的这个看着机器了。

7788，然而在我这边的这一个，就是我要去带你的这样子的一个机器啊，就是我要把我的一个目的话，就是我要把这边我在内网的这边的，这个看你机器，它把它带你到我的这边的一个公网对，然后我在这边的话。

我所要去执行一个命令，就是这边就是在我的一个目标一上面执行，可以看到就是我这边执行之后的话，他会在这边有这样子的一个就是rs socks，sevd soco，看到这个话就说明我这边的一个零件的话。

这个这边的一个说辞的一个零件的话，就已经尽力了，然后呃他的这样子的一个这边的这一个命令，它一个意思就是我这边指定我这边的一个呃，反向代理的一个模式，然后的话他会去反弹一个socks，反弹的一个说辞的话。

它会反弹到哪里呢，就是他会去在这边我这边的这边的呃，我这边这边要怎么说呢，扣扣我的这边的一个目标机，就是我要攻击的这个机器，我要带你的这个机器是吧，它会主动的去连接我这边的这个vps ip。

以及这边的一个端口，在这边的话，其实就是难去连接我这边的这一个端口，好，这边的一个目标机与我的一个攻击机之间的话，他就会去建立这样子的一个连接是吧，就是他这边他会主动来去连接，我这边的一个778对吧。

然后进行连接，进行连接之后的话，我实际的一个流量的话，就是我通过这个1888的这个端口，把它给转到，就通过这边的建立的一个连接，把它给转到我这边是吧，好呃同样的，我这边，呃没开这个图。

我同样的就是开一个吧，我同样的在当前目录开个这样子的，一个八八千的一个solo hb的一个solo，然后我在这边的话，我就能够去访问，访问的话就是通过我通过这边的一个，呃，没，啥玩意儿，三个。

我还是用用这边吧，改一下吧，这边的话是两把打发。

好的我在这边这个机器上面，现在好演示，然后的话我同样的1070，c l o来去请求这边的，我本地的8000的一个端口对吧，然后其实这边我的一个cl去请求的话，请求这边的这个ip的一个8000的一个端口。

它其实通过这个代理它发送到这边，它发送到了我这边的这个这里对吧。

你们可以看到它其实请求到了我这边，等于就是我已经把我这边的这边的一个网络网。

站，已经把它给代理到这边，r的话，只要通过这里的一个通道。

我就能够去访问他的个资源，然后呃在这话就是同样的是那个就是，hp的一个那个文件列出来的嘛。

对吧，这样子的，这边的我的一个一些文件的一个名字。

呃这边呢就是一个反向的一个socks的一个代表，好啊，到我了，到我们就是结合到我们实际的一个，这边的这个靶场，对吧啊，这边的话这个1w的话，就前面的一个背部分的一个内容的话就省略了。

我直接从就是创建sos代理这边开始对，好呃，首先的话在这边呃。

我们的这样子的一个步骤是这样子呃，其实在这里的话，其实就是同样的，就是用的这边的一个反弹，sx代理的一个方法对吧，可以看到其实命令都是一样的对吧，然而同理的话，因为我们前面的话就是通过这样的方法。

经历了这样的一个代理，把我这边的一个卡里，机器这边的一个和网段网络把它给带你出去了，或者说把我的一个流量带，带你到了这边的一个内网的这个网站是吧，那么我想要去访问到内网的这边，我这边把鸡的这个。

这这一个2。2的这个网站对吧，那么首先我在bp上面。

我需要去啊起一个这样子的一个流量转发，呃，其实呃对，刚刚没有说没有提到这边这边的话好，除了，除了那个是流量转发吧，你卡了，就是这一点就是r c sans对吧，这个其实它的一个作用就是流量转发对吧。

好把我就是来自这一个端口的一个请求的，一定要转到这边进行的一个连接好，我在这边的话，我们同样的通过这样子的一个方法呃，看一下端口，端口没有出嗯，还是这个吧，就就要yy的这个端口。

然后我这边的一个目标机器上面的话，我就需要去主动的去连接我这边的一个。

好啊，我需要在我的这边呢，他可能1g上面去执行这样子的一个连接，这边的这个命令的话，就是反弹这边的一个松弛，反弹到了这边对吧，可以看到他已经ok了，那说明的话这边已经进入这样的一个代理通道。

那么我们现在的话我们就可以尝试去，这个啊就是这个没问题，然后我这边先不走这个对吧，我直接去连接它，好，问不到的，然后我这边的话，切切，这个的话可以看到是没有没有任何问题啊对吧，是吧。

是能够直接去访问到这个网状的，那么它其实就是把我这边的一个访问啊，这个网站的一个流量的话，通过这边的一个流量转发，转到了我这边这边的这一个机器。

然后的话它会通过我这边的一个网卡吗，找到那个2。2，这个主机的一个八零的一个端口吧是吧，这边的话就是啊建立了一个一层的一个手指。

代表这个跟前面的话呃嗯应该也是类似的是吧，就是这种流量的一个走向对吧，都是通过啊有一个这样子的一个代理端口，然后的话把我们的流量就是通过一个啊，sos通道是吧，然后的话把它给转到我们的一个呃。

sos的一个就转到我们的一个内容，然后呃，这边的话就是我通过这样子的一个方法，去进行一个验证了啊，然后呃创建二层的一个手指代理的话，好吧不好意思，喉咙有点堵住了，啊关于思好了堵住了嗯。

然后我们继续啊啊喝了喝了水，就是有一有一有一点小糖，就是呃然后的话二层的一个双子代言的话，其实也是类似的，然后主要的话就是它的这个工具，它去进行一个这样子的一个流量的一个呃。

转发的时候就是它的一个命令使用的话，它是不一样的啊，其实在这边的话，重点的话就是这边在tg的一上面是吧，其实我们前面用f i p对吧，nf 2 p我们的这样子的一个配置，其实最多的其实就是这个啊。

外网的这个web机器对啊，就是这边因为我们需要在这个机器上面，做这样子的一个流量的一个转发对吧，因为呃，因为这一个机器的话是，我们就其实就是我们从外网访问到通向内网的，这样子的一个机器。

也就是一个跳板机对吧，然后的话我们需要把啊我们从外网来的流量，通过这个通道来代理到它的一个内容当中，所以的话我们需要做一个流量转化，在ew这边的话，它使用的一个方法的话。

就是用的这一个呃l c x slave，我们可以看一下前面这边就做这个模式，这slave的话就是一个端口绑定，其实它的一个这边的一个作用的话，就是把这边两个端口的一个流量做了一个转发。

就是在这边他会把呃，就是把我们这边2。2这一个机器，这个话是我们内网的这个机器嘛对吧，2。2这个网站的这边的一个999端口，的一个流量，把它给啊啊不对是啊，说反了，是从这边就是从这边降低降低去连接。

我们这边的，建立了这边的这一个端口对吧，888呃，没没错，对上了，就是他在这边他会去建立这样的一个通道对吧，然后的话我们的一个流量，通过10088这个端口进入到这个通道，然后他在这边的话。

他会把这边的一个能量转发到我这边的一个，2。2的这个9999的这个机器，然后的话这个999啊不是999这个机器啊，是啊，这个端口说错了，不好意思，就转发到这个2。2这个啊，机器的9999的这个端口对吧。

然后这边的这个端口的话，其实就是在这边它有这样子的一个啊soft，这边的这个说辞的话，其实就是呃建立了一个正向的一个那个代理嘛，对吧，soc然后他在本地他会去啊，今天一个999的一个端口。

然后的话我这边的这一个流量对吧，我从10088的一个流量，通过这边建立的一个啊，通过888这个端口所经历的一个通道，建立了一个代理通道，然后他把它转到了这边的一个999对吧。

其实就相当于就是我们前面的这边的一个，正向代理嘛对吧，就它同样的是把我们的一个流量就呃，通过这边转到了它的一个呃那个网网段嘛对吧，然后最后的话最后的话就是等于，就是我们要去访问，就是比如说我们。

因为我们这边是二层的一个代理对吧，我们前面这边一层的代理的话就已经实现了，能够去访问2。2这个网站，我们这边二层带的话，实现的是要去访问三三的三三的这个网站啊，那么我们这边的一个流量转发到了这边的一个。

呃，2。2这个机器的一个99的一个端口对吧，那么其实就是相当于我的一个请求的话，我同样的能够在这边呃，在这边的这个2。2这个机器上面，把它通过那个啊网卡给转到呃，我这边的一个三三的那个网站去。

然后最后的话，我们他会去经历这样子的一个零件，啊不是就是建立这样的一个通道，这样子的一个流量的一个走向，然后呃在这边的话，就是我们就可以通过这样子的一个通道来去呃，探测这边的一个三三的网络是吧。

其实就是我们的一个流量就能够去访问到去啊，能够去把我们的一个流量，就是传到这边的一个33。33的这个网站上，3。33这个机器上面，好啊我们来具体的来操作一下吧。

同样的拿我们这边的这个机器啊。

那个这边放了吧，又重新又从头来吧，好吧，又从头来，首先的话在我们的一个v p s上面对吧，我需要今天这样的一个端口，代理端口以及等待啊，我们的一个呃就是我们的一个目标机器，来主动的来。

去迎接我们这边的一个778的一个动作，因为我们是反向的对吧，大家就是其实这边的一个反弹，以及反向那种socks，跟我们前面就是正向反向的一个需要，其实它的一个原理啊，不是说原理就是它的这样子的。

一个是类似的对吧，就是正向的话就是我们主动的去请求去请求啊，这边的一个socks的一个服务对吧，好反向的话就是说因为我们无法直接去访问到，那么我们就只能够通过反向是吧。

就只能够通过它这边能够来访问到我们。

然后的话来去建立一个连接。

所以的话这就叫反向了，然后同样的我这边呃，执行这样的一个命令对吧，然后的话在tt 2上面，因为我们其实在这边建议这一个的话，我们就已经能够去法能够去设置代理对吧，来去访问，这边我拿到了2。

2这个机器的一个小啊，也就是这边，当然的话呃这边的话带你要改一下，是1888，改的是，我这边断掉了。

啊我先执行这边吧。

我现在这个tag一上面来去比我这边的一个，20227点。

然后在这的话可以看到呃，建立了这样子一个连接对吧。

已经建立了建立连接了，然后我这边的话就能够去，通过这边的一个代理对吧，建立了一个代理来去访问，这边的二这一个网段啊。

也就能够得到这边的机器的一个选，然后在这边的话。

我们下面要去访问的话，是要去把我们的一个流量，把它带你到这边去访问这个三三的这个网站。

所以的话我们在这边需要去做一个，流量的一个转发，然后在这边的话。

其实我这边这个命令的话，就已经做了这样一个流量转发，就是把这边的一个流量转到我这边的这一个呃，2。2这个机器的999的一个端口对吧，那么我在这边的话，我就只需要去改，就是他这边。

我这边流量通过这个链接发送到这边，它就会主动的来，就是发送到这边来对吧，那么我这边的话我只需要通过，没有没写错吧，好ss s s o c k s b soft，然后的话只需要去在我这边去监听这样子的。

一个99的一个端口嗯，嗯这边我之前已经有执行了呀，你看他是1w64 啊，我这边的话是用1w一的，我这边把这个p掉，2887，我去这个拼音怎么还在拼啊，啊呃其实在这边呃，正好看到这个就说一下。

就是你你你会发现我这边有这样子的一个命令，对吧，pin这个因为在linux里面的话，你的一个pin的话，如果你不用那个pk，11去指定你去拼多少次的话，一般的话一次两次三次就可以了嘛是吧。

像windows面默认的话，它是四次，四次之后的话，它就会停止掉，如果你不这样的话，如果你直接ping ping的话，他就会他会一直拼了，就是它不会停的，你除非你按ctrl c或者把他的一个镜子给剃掉。

然后在这边引进引进里面的话，你去执行这种命令，它会自动的去把它给放到后台去，就是他会把它放到后台，作为一个进程这样子的啊，然后你会发现我前面骗了的话，他其实一直有在骗啊，只是在前端它没有显示出来。

所以的话呃在这边因为ctrl c q ctrl c停止不了嘛，对吧，你就可以通过key把这个进程给啊，kel掉就可以了，这边的话呃正好碰到了，就说一下啊，好了吗好了，告诉你。

然后执行之后的话呃，我们那个连接的话应该就是已经建立成功了，然后在这边的话，我就呃你这个，你这一个吧，就是做一个rtp的一个远程连接对吧，然后在这边的话，我的一个service是这个呃。

我的一个端口的话是18888。

和1888，ok保存之后的话，我再用远程桌面来去做一个连接，能解除错误，连接出错的话。

那检查就是检查你的这边的，是否被停掉了，就是他是否还在好，但是。

没写错啊，啊我这边搞错了，在这边的话呃，是用的lcx的，listen的，就是这个就是反向代理流量转发呃，按理说这个阿斯sos应该可以啊。

不行啊。

我这边也是零点，我这边重新来啊，八八十九个。

等你大约端口号是改了2999呃。

就是大家在碰到这种问题的时候，就是其实你细心一下，你细心细心一点检查一下这种，那我我平常我平常有时候也是，就是你这边改了之后，然后你这边下一步就又忘了，好像这种问题的话，一般的话你细心去检查一下。

你从头从头就是找一下这种哪里就是改了是吧，或者哪里配置，你拿你单词写错了对吧，像这种信息话都是很好解决的，一般的话失误对的话，是其他的这种操作是都是会员有什么问题了啊，这边的话前面那段没kd x x。

所以的话呃它会有这样的报错，这个冲突嘛，因为你们那个端口被占用，你需要先把前面的这个给削掉掉，然后再去再去执行，啊现在执行完之后的话，我们再来连接，啊这边带你服务器又没改了，就嗯碰到种问题。

其实你就是学会看报错，是真的，就是你你就其实我看大家就是问的那种问题，就是你截图的时候截的那种问题，其实那个你解决的办法都已经写在报错里面了，对吧，其实你很快就能够去找到原因，因为你像这种东西。

你来问我的话，因为我不知道你整体的这个配置对吧，我不知道你整体你是怎么去配置的，所以其实很多时候我也可能会说不上来，嗯怎么这么慢呢。

看一下没错呀。

啊嗯这里错了，我的我的快不行了，我再再再再来一遍吧，这边的话因为我这边断掉了，所以他那边打过大了，正常的，我这边写错了呀，照着我p，大家照着我ppt上的来吧，我，这边写错了，可以看到，心脏重量，可以了。

嗯大家大家弄的时候也细心一点，我这边的话出现了就是写错了，大家大家照着我的pp来吧好吧，然后耽误了大家一点时间好，在这边的话我们建立成功之后的话，实际的效果就像这样子对吧，我这边的话我就可以呃，可以啊。

直接远程的登录这边的啊，这个33。33的这个机器对吧，然后这个x2 层的一个数字代表，然而还有的话，其实也可以去做这样的一个三层的一个所代表，这边的话呃这边的话大家自己课后去尝试吧，我这边的话就不说了。

然后因为他的一个操作以及原因的话，都是一样的，我这边的话已经写的很详细了啊，然后这边的话主要的话就是介绍一下它的一个，就是这边这边它的一个流量，就是你知道他那个流量走向的话。

然后你知道大概它的这些选项怎么去用的话，你就能够理解这样子的一个命令，我这里的话商城的一个数13点的话，因为我们其实前面对吧，我们通过msf对吧，呃通过17020能够去拿到这边tt 3的个小。

我们拿到他这个需要之后的话，如果他还有还有还有另外的一层之网呢对吧，就是有三层是吧，不应该是四层的啊，就是233对吧，三层吧，三层直网，那么我们这边拿下，拿下这个windows这个机器的一个小时后对吧。

如果他还有一个内网的内内网那个网站了对吧，那我们同样的还是去做这样子的一个代理嘛，对吧，只是的话它中间的话就是要去多做这样子的，一个流量的一个转发，其实说到底归根结底的话就是流量的一个转发。

你只要能够去把流量通过中间，我们这边通过能够去建立这样子的一个零件，然后的话做这样子的一个流量转发，就能够去实现这样子的一个内网的，就多层网络的这样子的一个穿透，当然的话你前提是你要能够去一个一个的去。

能够去得到这样的一个shell，然后命令这边的话我们看最后这一张ppt啊，就是啊，这边的话就是它的一个流量的一个走向的话，其实就是从我这边的首次5v5 ，就是我的这边的一个手持的一个代理嘛对吧。

然后我把我的一个请求，就是通过这边的一个端口，然后的话传到了这边的这个呃通道对吧，与这边e p s经理的一个通道，传到这边之后的话，它会通过这边的一个slave，做一个端口的一个呃呃。

转发端口流量的一个转发，把它给转到这边的2。2的，这个7778的这个端口是吧，然后在这边7778这个端口的话，他还要做这样子的一个转发，因为我们最后要去就是我们前面的。

其实tag的tag我们都已经得到了对吧，我们最后它的三也能也得到了他的小，但是如果他还有一层，比如说44。44的这样子的一个主机对吧，那么我们最后其实就是要去探测这个，14。44的这个主机。

那么我们这个流量我们就需要在tcl上面，同样的还要做一个转发，转到他的三上面，然后在这边的话它给三的话呃，我们就使用这个windows的下面的一个ex，因为它是windows的主机是吧。

好然后的话再通在这边去进行一个连接连接，这边连接这边的一个那个，其实这边的话跟我们f2 p也是类似的嘛对吧，我们中间两个主机之间要去进行这样子的一个，呃流量的一个转发的话，你需要有这样的一个通道啊。

就其实就是这边所建立的一个连接的一个通道，因为你只有建立连接之后，你才能去有这样子的一个数据的一个传递嘛，是吧，然后在这边的话，我们就带你到了这边三三这个主题上面了，呃这边他有三块，就是33。33。

如果他还有这一个四四的话，那么我们在这边的话，我们就通过这边的这里的一个代理通道，我们就能够去探测这边失事的这个主机，因为我们现在它已经探测到呃，已经把我们那个搜索带你通道。

已经带你到了这边tt 3对吧，那么这边它的三的话，它是能够去访问这边四四的这个网站的，所以的话我们通过这边的一个代理通道，我们就能够去向这一个44。44这个主机，发送我们的一个请求。

以及最后的一个数据的一个流向的话，就是像这样子呃，这个的话应该很好理解吧，是吧啊，以上的话就是我们本节课的所有内容啊，大家应该啊，大家有有没有什么问题。

有疑问吗，以及能理解吗，没有是没有疑问对吧啊，没有疑问的，给我送个花吧好吧，然后的话就我们本期课件的话就到这边了，如果呃其他同学还有疑问的话，大家呃自己就是在课后认真的去看一下，我这边的一个录播，好吧。

我在录播上面的话应该是讲的很详细了是吧，就包括命令，以及呃你的这样子的一个数据的一个请求，流量的一个走向对吧，以及我为什么要通过这样子去经历，这样子的一个连接对吧，去做这样子的一个流量转发啊。

呃只有这个其他同学呢，就这就这六位五位同学吗，而其他同学如果还有疑问的话，我在群里问或者是私下问吧好吧，就其实其实呃你可以去多多去问一下，就是这些他们没有问题的，这些同学嘛，就是大家其实互相交流就可以。

就就挺好的，就特意把大家就是放到一个群里的话，其实就是让大家能够去多交流嘛对吧，因为其实你要是就是毕竟我只有一个人了是吧，我不可能就是所有的问题都能够照顾到，或者说照顾到所有人，就其实大家互相交流的话。

你可能感觉还会更好一些，好吧，没有其他问题，那么也不多说了好吧。

P66：第35天：HTTP代理隧道搭建-reGeorg的使用 - 网络安全就业推荐 - BV1Zu411s79i

声音里面有杂音的话，在讨论区扣个一，应该是都没问题啊，好没问题的话，那么我们正式开始我们今天的一个课程内容，我们今天主要给大家介绍这个http，还有电s以及sm t的代理的一个实战和ppt的话。

我已经发在群里了，然后大家可以先看一下bp以及那个呃，其实课上要讲的一些东西的话，我都在预习内容，这个文档里面都给了，像呃这边的话，是我自己的自己记的这样子的一些东西啊，就是写一些笔记吧，挺早之前写的。

然后还有其他的那几个都都有，好啊，我们本期的话主要的话就是针对这三块内容，给大家做一个讲解，这一块的话就是呃一个htp的一个代理，不是说htp的一个隧道，就是这个ig o r g的这样子的一个工具。

我们通过他的这个工具来去理解，或者说来去了解htp的这样子的一个代理，隧道的一个搭建，第二个的话就是这个dns cat 2，这个的话是呃就是tcp over电s，也就是我们的我们是通过啊。

把我们的一个tcp的一个能量，通过dns的这样子的一个协议把它给传传输出去，也就是我们呃通过dns的这样子的一个电s的，这样子的一个数据的传输来去啊，进b这样子的一个tcp的这样子的一个通道。

来去进行一个命令的一个控制，第三个的话就是这个pta，而是一个就基于我们的一个片，也就是我们的一个s m p协议的这样子的，一个带的一个工具，在这边的话主要是针对这三个工具的一个讲解，具体的一个使用。

然后的话呃，来去分别的去了解htp d s以及sm p的，这样子的一个代理隧道的一个搭建呃，呃第一个的话就是一个r e g o r g，这个r e g r g的话呃，他是这个ie duce的一个升级版。

然后大家可以去了解一下这个ie duce，这个这一个的话是比较老的，这样子的一个就是啊代理htp的啊，就是一个htp隧道的一个工具，然后的话这个的话是它的一个升级吧。

然后还有就是在后面这边的一个narrow，i e g o的话，它是对前面的这一个的一个重构，也就是对有一个就是就是增强吧，加强吧，然后这一个r e g o的话，它主要的功能是把我们的一个内网服务的端口。

的数据，通过我们那个htp，还有ht的这样子的一个隧道，然后转发到本机来去，实现基于hp通信h tp协议的一个通信，然后我们在这边的话，就是说我们的这个i e g的话。

我们可以建立这样子的一个hp的一个隧道，然后的话我们在这边可以看到，就是他会在本地去听听，我们可以去开启一个socks的一个代理，然后的话把呃来自这样子的一个hp的，这个涉及到的一个数据。

然后通过我们这边的一个代理端口，然后的话走这样子的一个代理的一个，hp的一个隧道，然后把它代理到目标机上面去，然后在这边的话，我们呃大概了解一下它的一个，一些参数的一个使用吧。

然后我这边的这边的话已经详细的列出来了，主要的话就用这像gl gl的话，就是呃指定我们默认的今天的一个地址，干p的话，就是指定我们今天的一个端口，就是我们再去使用这样子的一个脚本的时候。

它会呃就是说它会有一个代理的，一个，就是双子代理的一个今天的一个地址以及端口，我们可以通过这样子的参数来去设置，然后干u的话，就是包含隧道的一个脚本的一个url，也就是呃像这样子的一个呃url好。

我们来看一下，这个工具它长什么样，就是这样子，就这一个i g r g他就就在这些文件，然后主要的话它的一个服务端的话就是这个。

然后我们通过这样子的一个python脚本来去创建的，一个socks的一个代理通道。

然而在这边的话它有提供这样子的一些脚本，像呃js p i p h p i，还有呃s i s p s s i s h x是吧等等，这些，它是针对在不同的这样子的一个呃。

脚本的一个解释环境下面来去进行一个使用的，然后的话呃现在这边的话，我们具体的一个使用的话，我们以这边的这个站点为例，就是啊我这边的这个就这个呃，我这边的一个i p line。

是这个其实呃就我这边使用的一个靶靶机的话，就是这边就是啊前面在讲玉的时候，给大家讲介绍的，这个就是让大家像刚才这样子的一个靶场，就就就这个这个嘛，这个的话它是呃有一个web的一个服务。

也就是这个啊这个roologic这个服，然后大家可以打开一下，打开之后的话你就能够去进行一个访问码，而且实际的话就是给这样子的一个i p嘛对吧，就是一个这一个ip给你，然后给这个ip的话。

我们就同样的就是思路的话，就是做信息收集嘛对吧，信息收集少端口对吧，少找出，好在这句话我就省略了前面的那些步骤对吧，我这的话扫出来有这样子的一个呃，这样子的一个7001的一个端口对吧。

然后我们访问这个701端口的话，发现是这样子的一个东西，这样子的一个页面对吧，然后大家看到这样子的一个页面的话，其实能够有大概的了解，就是你对于weblogic的这样子的一个应用，有相应的一个了解的话。

看到这个的话，你能够有一个基本的判断，如果你还判断不了的话对吧，你可以在后面加一个空手，然后加一个空手的话，他会去depo，也就是部署我们的这样子的一个应用程序，这一应用程序啊，就是这个控制台啊。

我们呃加这样子的一个空手的一个目录的话，它会自动的去部署，部署好之后的话，我们就能够去讨论了这样子的一个页面对吧，看到这个页面上，我们就能够知道它是一个呃，weblogic的一个server对吧。

以及在这边的话有它相应的一个版本，这个版本的话我们在后面会去用的，而这边的话我们知道了，就是说它是一个weblogic，那么我们怎么怎么去进行一个应用呢，对吧呃关于weblogic的话。

前面再讲就是就是突破口的时候就要给大家讲，就是work glogic相应的爆出来的一个漏洞，他爆出来的漏洞的话是比较多的，好啊，针对这样子的web logic的一些历史漏洞的话。

我们可以通过相应的一个脚本对吧，也就是，我们可以通过这个，apologic skin这样子的一个工具对吧，来去对它做一个扫描对吧，这个工具的一个使用的话，前面应该也介绍了是吧。

嗯看啊这里啊啊实际的一个效果的话，就是像这样子，就是就我我通过这样子的一个vlogic的，这样的一个扫描工具，来去对它做一个历史漏洞的一个扫描对吧，来去判断他当前的这个weblogic服务。

它是否有这样子的一个那个呃漏洞对吧，好这句话有扫出来，有这样子的一些这样子的嗯，两个对吧，然后我们在这里的话，使用的话是这个2019的2725，然后关于这个2725的一个应用脚本的话。

我们呃我这边的话推荐大家使用这个吧，就是这个，嗯就是这个，然后关于这个脚本的话，它是能够去直接的去就是执行命令，然后的话呃，能够去就是通过这个脚本来直接去执行命令，然后的话能够在这边返回结果。

以及能够去选秀，其实我们主要的话就是这两个功能嘛对吧，就主要去用的话，二是执行面的话就是判断我们这边对吧，判断它的这样子的一个就是他的这个服务，它是不是确定存在这样的一个漏洞对吧。

如果我们通过这样子的一个脚本，然后执行命令能返回结果，那么我们就能够去确定它是存在这样的漏洞的，那么我们确定之后的话，我们就可以去写入一个shell，写入写好之后的话，我们就能够去执行命令对吧。

好我在这边的话嗯。

这边的话呃，这个脚本的一个使用的话大概演示一下吧，然后和它的一个使用的话，就是命令之前有上传web share，然后上传呃，首先的话我们先执行命令，然后他在这边的话，它需它是能够对这样的指的两个版本。

也就是他就存在这个漏洞的啊，weblogic的版本的话有这样子的两个，然后他都可以去支持，去进行这样子的一个操作。

然后我们可以指定这里。

在你的那个就是ip地址，加这样子的一个端口即可，然后后面的话我们不需要加强了，然后在后面接我们的一个命令，可以看到我这边的话执行之后的话，他就返回了一个结果对吧，也就是这边的一个呃。

我们这边的一个外卖之前的一个命令的一个，结果啊，呃所以这里的话这里的一部分前面有讲吗。

呃我看前面讲这个logic的话，应该是没有用这个脚本了是吧，呃我个人的话是觉得这个脚本是比较好用的，但还就还有挺多的这样子的一些脚本，然后我们这边的话，我们既然能够去呃，能够去执行命令。

能够去利用这样子的一个漏洞的话，那么我们接下来的话就可以去做这样子的一个。

写shell对吧，然后我这边的话已经写进去了，写进去的shell的话就是像这样子的呃，那个，呃就是像这样子啊，就啊我们其实也可以通过，就直接通过它它这边去进行一个写入，然后写写shell的话。

就是你把后面的一个cmd命令去掉，就你不加的话，他就会去写一个shell，写了一个小小的一个地址，它就是像这样子的一个地址，他会去上传一个这样的一个demo，in jsp的这样子的一个文件。

他会写一个这样子的一个jsp的一个码，然后我们这些话就能够去执行命令，我这边他执行ip config是吧，关我们就能够去进行一个命令的一个执行，那么我们这边执行命令之后的话，呃，在这边的话。

我们知道它是一个windows的一个机器人是吧，而windows的一个机器的话，我们能够执行命令的话，我就想着要去反纳西尔嘛对吧。

然后反弹shell的话，我这边的话呃通过反弹到4s上面去吧。

反弹到cs上面的话，我这边的话是通过这样子的一个方法，就是通过前面也会给大家讲的这个对吧，呃直接用mh啊，ta，也就是这样子，我们直接就是在cs上面去生成一个这样子的，一个文件。

就是一个那个hta的这样子的一个脚本文件，然后我们可以通过m s hta对吧，m s hta的话是windows下面，它自带的这样的一个文件，它能够去远程的去加载，我们这边的一个hta的一个脚本。

然后的话我们通过这样子的一个命令，因为他在这边的话能够去执行命令是吧，他执行命令的话，他把我们这边的一个脚本去做一个执行，也就会去进行一个啊解释，解释之前之后的话，我们这边的话就能够去得到一个像啊。

其实这边的话都是我这边得到的。

就是这一个这这这个机器的。

然后具体的一个效果我们可以来看一下，这脚本还是去找啊，有啊有利用漏洞的脚本呢，你get up上面去找嘛，肯定有的，然后还有就是呃其实这方面也会给大家介绍，就是就像weblogic的话。

你可以用他们形成的这种脚本嘛，然后还有的话就是呃有这样子的一个，就是带核显的e x p，我们可以用这样子的带核显的e x p，用dp啊，用v通过bp发包，发包的一个方式来去进行一个命令的执行。

像在这边的话，就是我们可以在这边对吧，我们可以把我们的一个呃通过这样子一个命令，把我们本地的这样子的一个啊jsp的一个文件，然后当然他在这边，他是呃，我这边是通过sm服务来，把我这边的这样子的一个需要。

把它给就是copy到了这边的一个目录下面，这个目录的话，就是这个weblogic的一个这个服务啊，它它会有这样子的一个目录，就是这边的这一个目录，然后我们去去那个去进行一个写写写写，写文件的时候。

你可能你就是在执行的时候，它其实是在这个bat的面目下面的，然后的话你实际要去写这个shell目录的话，是在这一个目录下面，就是它的一个呃绝对路径的话是这个注意，然后的话我们把它写到这个目录下面的话。

我们就能够去得到一个小单，我这边的话是写的一个冰，写的一个啊jsp的一个嘛是吧，然后我同样的能够去得到一个选。

和在这里的话，我通过cs，我这边我再给大家演示一下。

就是啊这个，然后我们可以在这边通过mp啊去执行，执行之后的话可以看到刚刚是四个对吧，然后立马又来了一个，就是这个对吧啊，这个的话应该应该就是这个吧，然后这个，对吧，我们可以啊，就直接的就得到些。

我这边的话就以我之前我已经尝试过的这个，我这边已经有相应的一个步骤对吧，我进进入这个back on之后对吧，进入back on之后的话。

我可以去执行命令，也就是得到了这边的这个机器的一个渲染的好，我们这边得到需要之后的话，我们反常现有之后的话，我们想要去做这样子的一个代理，也就是把我们的在外外外网的这样子的一个。

流量或者一些工具的一个请求对吧，我们想要去利用这样子的啊自己的一些工具啊，去做做自己想要的一个事情的话，我们需要去做这样子的一个代理对吧，就其实就是又又回到了前面的这样子的一个经，历。

这样子的一个代理通道，然后这边的话建议大家通道的话，我们通过这边的htp的一个隧道，因为我们这边的话是得到的是一个这样子的，一个web服务器对吧，这个web服务器的话我们得到它一个share。

然后我们在这边的话，我们在这的话可以通过这个ig这个脚本，然后我们通过我这边得到这个shell，我把它上传上去是吧，可以通过文件管理把它给上传到这边的，把它给上传到这边的这一段录下面。

然后的话我们再去访问的时候的话，就是通过这样子的一个方法啊，我这边的话已经上传上去了，我这边的话去访问的话，就是通过这样子的一个方法，只需要在这样一个ip后面加这样子的gua，s y n c。

他就会去找到这样子的一个文件，然后这边的这个文件的话，其实因为它它它的一个漏洞的话，它就是这样子的，就是我们在这边的这样子的一个目录下面的话，然后我们只需要在后面加这样子的一个。

干s y n c的这样子的一个呃，这样子的一个目录，我们就能够去访问到这边，这个下面的这样子的一个呃脚本文件，因为他这边的话其实就是这个这个模块啊，这个模块它的一个漏洞。

好我这里的话就上传了这样子的一个cha。t，五点jsp的这样的一个脚本，这个脚本的话其实就是我这边的这个啊。

这边啊这用的这个脚本。

就是用的这个i g o r g的这个脚本，然后我们把它上传上去，上传上去之后的话，我在这边的话，冰鲜冰鲜的话，它是就是呃因为你编写的那个码的话，它是有做相应的一个加密的。

就是它里面的话它不是像这种一句话码这种，然后的话有他中间的话这种加密解密的话，你需要用它的那个工具，你才能够去做，才能够去接受，也就是你要去用兵线去去得到希尔的话，你就需要去用他的那个兵线里面的那个嘛。

当的话你知道他那个怎么写的话，你可以自己写一句话是不行的，他接不了一句话的，就是冰切的话，然后那个冰箱的那个马的话，也不能就是用其他的工具也接不了的，因为它它的这样子的，它的一个流量的话是有加密的。

然后它呃他是写写在了工具里面，已经写在了那个脚本里面了，它的一个实现的话，啊我这边的话就是上通过主要希尔对吧，我上传了这样的一个脚本，上传上传之后的话，我们怎么去进行一个使用呢。

使用的话就是在这我们在这边的话，主要的话是用到这个这个python的脚本，它是用这样子对一个python脚本来去进行一个呃，经济这样子的一个通道，然后我们可以通过。

我们可以通过杠起来去查看它的具体的一个，一些参数。

距离一个参数的话都在pp里面已经写了，我这个话我就不多说了。

就都在ppt里面写了对吧，它的一个作用啊，我这边的话就直接直接嗯给大家看效果吧，我想当皮的话。

那其实呃在这边的话他的这个脚本对吧，我们能够去就是我们去判断它，能够能不能去执行解析的话，我们其实在这边能够去看到对吧，如果他能够去解析执行这个jsp脚本的话，我们在这边能够看到这样子的一个东西。

如果他解析解析执行不当的话。

那么呃呃就是访问不到吗，会。

看起来就没这。

没错，然后我们这边啊执行执行之后的话，在这边的话，它就会有这样子的一个信息的一个法对吧。

然后可以看到有这样的一个东西，那就说明我们这边的这个代理的话。

已经进去成功了，好我们这边建立了一个代言的话，我们可以看看一下我这边的一个命令，就干p加1080的话，就是我在本地，今天的这样子一个108年的一个端口，然后这个端口就是我们的一个代理的一个端口。

我们呃把我们的一个请求的话，就是呃就是通过这样子的一个端口，把它呃放到这样子的一个hp的一个隧道当中。

然后的话把它给转发到我们的一个目标机器，上面去呃，然后在这边的话我们可以看一下，我在另外开个浏览器，当前我在这边的话。

其实呃我们可以来验证一下了，我在这边的话，我可以执行一下mini，我看一下，它的一个网段对吧，这个网站的话可以看到它有这样一个内网网段，10。10。10。8的这样子的一个啊。

网卡是吧，然后这边的一个这个网站的话，我们是无法直接去访问到的对吧，就这个ip的话，我们是无法直接去访问到的吧，然后在这的话我们去验证一下，我这边的这个这边的这一个代理，它是否成功了。

代理的话就是啊本地的啊，ip加这个1080的一个端口对吧，没有问题，然后这边的话切出一个代理，可以看到，这边一定要开，这边执行对吧，可以看到在这的话。

在这边他会有相应的一个流量对吧，然后有相应的一个请求，然后这边的话就能够去访问到这边啊，啊因为在这边的话就是访问了同样的，还是这个呃weblogic的一个符号，但是我们在这边使用的话。

不是使用了他的这样子的一个，外网的这个ip对吧，也就是我们在这边能够直接访问到的这个，能够去直接访问到的这个192。168。7，8。105的一个ip是吧，我这个话访问的是就是它的一个本地的这个ip。

就内内部内网的这样的一个i p，然后我通过内网，通过我这边的一个通道，通过这边的一个搜索的一个代理通道，然后的话把我这个流量代理进去了，然后的话访问的是这边的它的一个内网的ip，是原本我们访问不到的。

然后其实访问这边的一个i p吧，同样的还是访问到的是这个机器，它的一个本地的一个web logic的一个服务，因为呃其他的一个机器的话，就其他那个机的话没有，我这边没有开其他的一个服啊。

所以的话就是这一些其他的同一个网站的一个，主机的话，呃，就没有这样子的一个明显的一个效果，就是在这话主要就是给大家看一下，我这边的话是呃代理的话是经理成功了是吧，然后在这边使用的一个是用的这样子的。

一个脚本，就是通过这边的一个hdp的一个隧道，然后的话经历了这样子，这个收拾的一个代理通道，把我们的一个流量代理到了一个内容。

然后呃效果的话就是像这样子对吧，然后呃第二个的话就是这个n e o i e g o，这个的话这个的话比前面那个的话要就是呃，因为它是对前面的一个重构增强了对吧，它的一个功能以及它的一个呃安全性。

还有它的一个这种数据传输的一个保密性的话，要比比这一个的话要高很多，所以的话这一块的话，就相比于前面那个的话会好用一些呃，然后这一个工具它的一个呃，一些参数的一个使用的话，我这边也不不会多说了。

然后大家pp电话已经也给大家了是吧，大家自己去查看，我这边的话都已经给出来了是吧，好呃这个的一个使用的话，其实跟前面的这个i j，它的一个使用其实是呃类似的是吧，因为它本来就是基于前面的这个i g。

o r g的一个重构的吧，其它根本上的一个东西的话是没没没变的，但是的话他对前面的这一个呃，前面的这一个脚本的话，它有增强对吧，好下面的话我们来看一下我们在这边的话，同样的以这个机器啊。

方案呢以这一个机器作为一个啊势力，也就是呃我前面的话，通过这个weblogic的一个漏洞对吧，拿到了它的一个需要，然后的话我想要做一个代理，就把我这个流量代理到这样子的，代理到它的内容去。

那么我们在这边的话，在用这个工具的时候的话，首先第一步我们需要嗯，先来看一下这个呃这个工具它的一个样子吧，这边的话就是他的一个脚本，我们首先的话需要去把这个脚本下载下来嘛，对吧。

然后同样的它有这样子的一个python的一个脚本，就这一个就nee r n o r e g的这个脚本。

然后这个脚本的话就是我们用来去起服务的，去进行进行一个socks代理的一个呃脚本，然后在这边的话有这样子的一个目录，就是这个templates这个目录，这个目录的话。

它存放的是它支持的这五种脚本的。

这样子的一个模板，就是这边的话它是注意的话是模板，也就是他在这边的一个模板的话，我们在这里首先第一步需要通过这一个脚本，然后的话基于这边的一个模板来去生成，对应的这样子的一个文件。

这边的文件的话可以看到n e o i g servers是吧，就这边的话就是我们的一个啊服务端，因为我们需要把我们这边的这个脚本文件对吧，去上传到目标的那个web服务上面去，然后的话上传上去的话。

我们通过这样子的hp的一个连接对吧，来进行一个隧道，然后再这样的话首先我们要去使用的话，第一步的话就是设置密码来去生成对应的，这样子的一个这五种脚本，然后的话上传到目标的一个web服务器上面去。

然后生成脚本的一个命令的话，就是这样子就有它有这样子的一个g n e r，a t e的这样子的一个参数，然后的话在后面接一个干k这个选项，我们在后面接我们的一个密码，这边的这个密码的话。

就是呃我们的这样的一个客户端，去连接这个服务端的时候，它会啊需要这样子的一个密码，来去进行一个验证是吧，就是不是啊，不是像之前这边前面这边的话，我们呃前面这边的话，我们只要知道他这个脚本对吧。

然后的话我通过这样子的一个，通过这个脚本就能够去进行一个代理的一个代，理，这样子的一个通道对吧，然后在这边的话，他就对他做了一个这样子的一个增强了，就它有它需要去验证这样子的一个密码啊。

就不是说你得到这样子的一个路径的话，你就能够去进行这样的一个通道，你你还要需要知道这个密码，就是啊在安全线上面的话就更更好了是吧，然后这句话他执行之后的话，他就会在当前目录下面。

在这边他会去生成这样子的一个文件夹，然后在这个文件下面。

文件夹下面去写入这样子的一些脚本，然后这边的话有一个key，点单词的话就是这边的一个啊，就这边生成的我所使用的这样子的一个密码。

然后还有对应的这样的一个文件，我这边的话是把它改成了这样的一个password，in js p的这样的一个格式，然后我这边的话，同样的把它就是上传上传上去对吧，上去的话就是在这两好这个password。

点jsp的这个文件啊，我们可以来访问看一下，然后可以看到这边的话，没有其他的任何多余的这样子的一些东西啊，对吧，就是没有说访问不到，或者说没有报错的话，那么就表明我这边的这个jsp的一个脚本的话。

已经被正常的解析了，然后正常解析的话呃，我们也可以在这边去查看它的一个源代码，有这样子的一个一行的，然后这边呢这一行的话。

其实就是我们在这边这个脚本的最后的这一行，就是啊啊啊诶啊不是，就是这个我这边的这一个内容，对吧，它是跟这边对应的。

然后我们这边呃上传上去之后的话，我们同样的通过这个工具。

通过这个桥本来去建立这样一个通代理通道啊，在那个之前的话，我先把这边断掉，然后在这边我同样的使用108，1080的一个端口，然后他就这样子的一个进进去通道的话呃。

注意的话就是说他这边他是呃使用的是python 3号，开始二应该可以也可以吧，呃拍神二也是可以的，就是他这个的话他支持拍神二已经开始三，我这边他就用开神伤了啊，呃我们可以干h同样的杠。

h来查看这个脚本上的一个，具体的一个使用的一个帮助信息对吧，然后这句话我们所需要的主要就是这几个参数。

首先呢它就是干优弹药的话，就是指定我们这边的这个url，也就是我们的这一个上传的这个啊。

脚本就是隧道脚本好，第二个的话就是这个杠开杠开的话，我们需要去指定我们的一个t，也就是我们前面再去生成对应的，这样子的一些脚本的时候，我们所指定的这个password密密钥，然后这边的话就是我这边的话。

是生成了一个password是吧，然后的话还有就是gp就干p的话，就是啊今天端口嘛对吧，其实跟前面的那个ig它是一样的，就是在本地去进行一个代理的一个端口，我这话就是1080，然后执行之后的话。

执行之后的话就是这样子的一个结果，然后可以看到它这边的话呃，就是他启动了这样子那个收拾的一个服务，就是在本地的一个1080的一个端口，然后呃这边的一个套啊，隧道的一个hp的一个隧道的一个地址的话。

就是这个吧。

其实就是我这边的这个好，在这边的话我们尽力成功之后的话，我们同样的来去验证一下是吧，验证的话我同样的通过前面的这个这个啊啊，我这边的一个代理的话，还是跟前面是一样的对吧，因为我同样的是代理。

在本地的一个1080的一个端口上面，那我在这边请也是能够同样的，没有问题的去访问对吧，对吧哦哦不是不是，这个是8000，它的一个内网ip对吧，主要是能够正常的访问，也就是说明我们这边的。

间接的这个代理通道的话是没有问题的，好呃，然后的话我们就通过这样子的一个方法呃，又成功的建立了这样的一个带你通道，是啊，其实这边的话他它的一个原理的话，都是使用的这样子的一个hp的一个隧道。

来去做这样子的一个流量的一个转发，这两个工具的话呃，就是它的一个用法都是一样的，就没没有太大的一个差别啊，啊呃第二个的话就是第二部分呢，就是这个点cat dd cat 2，呃。

这个的话是就是呃我记得在第一期的时候，就是在开第一期课的时候，呃，没有讲这个没有讲，就是htp的啊，隧道以及电有这边的，就本节课内容的话，第一期的时候的话是没有给大家介绍。

然后呃那会儿也是有有人问我这个，然后的话呃，我这段话是给了给了这边我写的这个比较呃，这个是我老早之前的一个比较挺久的了，然而这个笔记的话大家可以去看一下吧，啊当然话因为当时写的话，当时写的话没有。

就呃怎么说呢，就是不是很认真吧，就是写的比较随便，然后的话比较可能稍微稍微有点杂乱，然后呃当然的话就是具体的运动的话，我在今天会给大家去讲，然后详细的细致的这样的一些点的话，在这边的话呃都都有都有写。

然后的话，然后还有就是我这边有参考的这样的一些文章，其实呃就是参考的别人的啊，就基于别人说这样子的一些已经做了一个总结，我这边的话就是把它给记下来，然后作为我自己的一个东西嘛。

好我下次我再去用的时候对吧，就比如说我要是之前我不做这个的话对吧，我不做这个笔记的话，就是可能你们在你们再来去问我，这个东西的时候，是，我可能就是会拿一个别人的一个东西给你是吧。

但是如果我这边我自己做了，我自己做了，有相应的一个东西，我自己有尝试的，那么我可以把我自己的这样的一个，总结给你是吧，这样子的话就呃可能会好一些吧，正，好那他这边的话就是，呃说了一点闲话。

而我们正是我们正式开始这一部分内容，的一个介绍，然后首先的话就是对这个工具的一个简介，这个dcat 2的话它是一个dns的一个隧道工具，它的一个主要作用的话，就是我们可以通过d的一个协议来去创建。

这样子的一个加密的一个命令，还有控制的一个通道，然后的话就是说呃就是说它的一个特色的话，就是我们可以在服务端啊，可以去进行一个命令的一个控制，也就是cnc嘛是吧，就是command contro。

然后的话我们在服务端的话，就能够得到这样的一个面具控制台，能够去啊执行下一个命令，也就是得到目标机器的一个需要，然后再讲这个电呃，再讲后面的一个内容的时候的话，在这边大概的就是提一下。

就d的一个解析的类型，就常见的有这样子的一些，然后我这边的话呃，有总结的，总结了这样子的一个它的一个类型是吧，然后在这边的话主要的话就是给大家介绍，和a大写的这个a就是表示的话，我们域名的一个ip地址。

就我们再去配置我们的一个解析的时候对吧，我们想我我这边的话有一个公网的ip地址对吧，比如说我这个，跟我的再加一个地址对吧，然后我这边买了一个域名对吧，呃，然后你看我的一个域名。

我想要把我这边的一个呃机器，就是啊把他给绑到这个玉米，就是把这个玉，把这个域名的一个解析的一个i p地址，把它给把它念成我这边的这一个是吧，好我再我再去做一个啊，配置的时候。

就选择我们的一个dx的一个解释类型的话，就是为a就是一个a记录，这个记录的话，它对应的是我们的一个域名的一个ip地址，然后呃还有的话就是这里的ns as的话，就是我们的一个电s的一个解析啊。

就是我们可以通过这个ns的一个记录，来去指定我们的一个域名服务器，也就是我们因为我们知道，我们要去解析这样的一个域名，比如说点com这个域名对吧，好，这个运营的话，我们首先去解析的话。

首先就是从我们本地的一个local啊，那个host文件当中去找到对吧，如果没有的话，他就会去找最近的我们啊运营商的这样子的，一个dns的一个公共的这样这个服务器，然后如果还没有找到的话。

他就会去我们的一个dx域名的，这个根服务器上面去找，然后的话它会有这样子的一个迭代的查询，就一层一层的去找对吧，然后直到找到我们这边的一个域名，而我们在这边的话可以去指定。

就是说我们再去解析这个域名的时候，去指定我们是，而指定啊，有哪一个域名服务器来去进行一个解析，就通过这个ns的一个记录呃，其他的话在这话我就呃我不多说了，大家自己去进行一个好了解好吧。

因为主要的内容不是这一块，然而下面的话就是而对这个dsk的这个工具，它的两种模式的一个介绍，就一个呃，首先第一个它就是个指令模式，指令模式的话就是我们的一个客户端。

直接向指定那个指定ip的一个i e d服务器，发起我们那个电解析请求，然后第二个的话就是这个中介模式，中介模式呢就像我们平常去上网对吧，去做一个去访问一个域名的时候，他的一个域名它去进行一个解析的时候。

他会去啊，通过我刚刚所讲的那样子的一个域名，解析的一个步骤，他会去进行一个迭代的一个查询，然后直到找到我们的这样子的，ie的一个dns服务器，然后相比前面的话，就因为他直接是通过ip嘛对吧。

就直接通过ip它没有电解析的这样子的一个呃，就是d s这个域名解析，去查找这样子的一个域名，服务器的这样子的一个过程，所以的话他会比较啊慢一点对吧，它会比前面这一段要慢一点，但是的话它是更安全。

因为它它有这样子的一个解析的一个过程，以及我们在待会待会再去看那个，就是说他在用这样子的dcat，他做这样子的一个呃，做这样子的一个反弹shell的时候，它的它的一个电源时的一个请求的话，它是会啊。

就是不是默认的一个，就是他的一个默认的一个请求的话，它还会有这样的一个t cat的一个后缀，因为它是写在他的个啊工具当中的，当然的话如果你懂代码的话，你可以自己去改掉的，而我们如果说通过这样子的一个。

中继的一个模式，也就是通过我们自己的这样一个电s的一个，域名的解析的话，那么它里面记录的是我们的一个预言，然后的话呃我们一起来看一下，就是它的一个安装这个dcat的一个安装的话，挺容易出错的，应该啊。

我今天发在装的时候，因为我这边他是又重新的又弄了一遍，虽呃虽然我笔记上面有，但是那个他是老早之前的那个服务器啊，而且还是用的那个center los的一个机器，我这边的话是用的那个微光图的。

有的话我又重新又发了一遍呃，在这边的话，这句话我是装在了安装在了这一个机器上面嗯，找到这个工具。

在这边，而这里的这个工具的话嗯，就首先你通过这样子的一个方法嘛对吧，再去通过这样的一个get方式，把他的一个代码克隆下，克隆下来之后的话，他的一个代码还不能像这样子，像这样子的一个东西。

然后我们主要的就是这两个目录，就是client excel这两个目录，这个seven路的话就是我们的一个dsp的一个服务，呃启动这个dx cat服务的一个脚本的话，就在这个目录下面。

也就是这个dcat点规范，然后要注意的话，他的这个工具盘，它是用通用rebuy这样子的一个脚本原编写的，然后还有的话就是一个plant，plant的话就是我们的一个客户端吧对吧。

然后这边的一个客户端的话，我们需要通过make去进行一个编译，来去生成这样的这个呃，生成一个这样子的一个，可执行的一个二进制文件，然后再去进行一个呃安装的时候的话，我们需要去安装它的一个服务。

在安装之前的话，我们需要去呃安装相应的这样子的一些啊，依赖以及组件以及一些应用程序啊，我这句话都已经写了，像呃你需要有revive revive一个环境，因为它是用rev脚本写的嘛是吧。

你需要去用reb解析，还有就是这个预报点dv的话，是它的一些那个啊依赖扩展，然后还有git，就是我们在这边要去用这个beat，我们也要去安装码，开源的话就是mac。

mac的话是linux下面的一个编译器啊，就我们去兵役啊，定义我们那个c代码的时候，我们通过这样子的一个mac编译器，去编译成我们的一个可执行文件，以前还有g加加，也就是我们需要的这样的这个环境。

呃以及这一个binder，binder的话，就是我们在这边去安装这个服务的时候，会去用到这个bstore，然后呃安装一个过程的话，就是我这边的一个截图啊，我这边我就不多说了。

就是你这边的这些组件连安装完成之后，你把呃你进入到这样子的一个筛网目录，然后的话执行这个binder in store，它就会去安装对应的这样子的一些组件，安装完成之后的话啊。

我们就能够去进行一个启动服务，然后启动服务的话呃，在启动服务之前的话，我们还需要去编译我们的一个客户端了，那我们服务端有了我们客户端，我们也也需要对吧，还有b客户端的话，就是进入到这个client。

我们直接执行一这个mac来去编译一个可dsk的，一个可执行二进二进制文件，啊我们呃服务端客户端都有了是吧，那么我们需要去进行一个启动我们的服务端，啊启动服务端的一个命令的话，就是这样子。

通过rebi来去直接去执行我们这边的一个dns cat，二点r b的这样子一个脚本执行之后的话，它就会有这样子的一个呃，这样子的一个信息返回啊，先休息五分钟吧。

啊50的时候的话。

P67：第36天：Dnscat2、icmpsh搭建隧道 - 网络安全就业推荐 - BV1Zu411s79i

哎，呃大家好，我们继续啊，好前面的话给大家介绍的就是它的一个安装，以及它的一个就是它的一个安装步骤，然后下面的话我们分别来介绍一下，就是它的一个使用，也就是呃在它的两种模式下面，我们如何去进行一个使用。

对我们如何去呃进行一个dk的一个直连模式，以及后面的这样的一个中继模式，呃，直连模式的话，我们直接执行这样子的一个脚本，就是rebudx cat 2，执行之后的话呃，返回这样子的一个信息。

给我们主要的一个信息的话，就是在这边他有这样子的一个啊，这边有一个尴尬secret，这边的一个secret后面的话有这样子的一串字符，在这里的话是一串随机字符，这边的一个字符的话。

也就是我们客户端要去迎接，我们这边的一个服务端的时候，所需要的这样子的一个啊一个妙，然后的话这边执行之后的话，它会在本地，它会在我们的一个服务端，它会去监听一个53的一个端口。

因为我们的一个dx的一个呃，我们的一个dx的一个协议的话，它默认的话它是一个53的一个端口，而且是要注意是udp的53端口，那这样的话呃。

我们来看一下，实际看一下效果，首先的话我们进入到这个sel的目录对吧，然后我们执行reb，然后执行这个脚本，执行之后的话，它会再生成返回这样子的一个信息对吧，给我们，然后的话它会在当前的一个服务端。

它会今天一个53的一个端，对啊，也就是这个可以看到它是一个reb去精听的，然后在这边你去执行的话。

可能会碰到这样子的一个问题啊，也就是我这边运行内的话有给的这个链接，就我今天再去弄的时候的话。

是碰到这个问题啊，好了，通过他的这边的一个方法，看到50这一。

通过他的这个方法做进行了解决，就是你执行的时候它会报错，报错这个53端口的话可以占用了，然后你通过去查看它那个端口占用的服务的话，是这个system d。v resolve这个服，啊不好意思，不好意思。

刚刚有个电话打进来了，好在这里的话，我们就是可以通过他的这边的一个方法，做一个解决啊，就是更改它的配置文件，然后就能够去解决它的一个这个服务的话，他占53端口的一个方法，因为我们在这边的话。

那我们在这边的话，要去使用到这个udp的53的一个端口啊，如果他处于一个占用的一个状态的话，那么我们执行的话就是起不来的，我这边的话，然后在在这边执行之后的话，他就有这样子的一个内容给我们对吧。

然后这边他给到给到我们的一个信息，就是这个secret，然后我们把它脱下来，把它，把它放到这边来，好我们这边服务端启动了，我们需要去启动我们的一个客户端，启动客户端的话就是这样子。

因为我们前面的话已经编译对吧，通过编译的话已经生成了这样子的一个编辑框。

已经有生成了这样子的一个，二进制的一个可执行文件，就可执行文件的话。

我们把它给算，传到我们的一个目标机器上面去对吧，我这边的话是在我在我自己的一个windows的一个linux，子系统下面来去进行的一个执行，然后执行的一个方法的话就是dx开头。

然后的话接我们的一个干干d s的一个选项。

然后关于他的一个选项的话，我这边呃不不多说了，我不会就是做太多的一个介绍好吧，然后我在这边的话，我们需要去指定我们的一个server，也就是我们的一个dx的一个。

而dns cat这个服务所所在的一个服务端，就server的话啊，喂就是我刚刚的那个a p s的一个i p，然后还有的话port端口，端口的话，就是我们的一个53的一个端口是吧。

然后加我们的一个secret，这边的一个secret话就是服务端，服务端它诶。

这边服务端执行之后的话，所生成的这一个secret的一个啊字符串是吧，然后我们在这边的话，时间不是八小时，就是这样。

我通过我的另一个服务器。

呃呃执行之后的话，他会有这样子的一个结果，就是显示这个session is establish，这个的话就表示我们的这样子的一个绘画，它已经定义了，也就是我这边的话啊，已经这边的一个客户端已经连接上了。

我们这边的一个服务端，好连接上之后的话，他在这边有这样子的一个new windows created 1，这边是什么意思呢，就是他这边的话它就是创建了这样的一个window，也就是一个啊绘画好。

我们可以通过输入这个windows windows，或者是window来去查看啊，然后这电话可以看到有这样子的一个一，这个一的话就是我们的一个命令控制通道，就是这个主机了，然后这一个主机的话。

其实就是我这边的这个主机啊，也就是我这边的这个组件啊，然后这边他得到了他的这样子的一个呃绘画，我们可以通过这样的一个方法来去进入，这边的一个命令控制来去啊，来去操作我们这边的这个呃客户端呃。

具体的一个步骤的话就是筛选，筛选杠i接我们这边的这个id，就这个值为一，然后执行执行之后的话，就会进入到这样子的一个command的一个控制台，这个控制台的话呃，是在这个一啊。

这个一的这个windows这个窗口下面的是吧，然后我们可以通过看来去查看，有这样子的一些命令，像比如说upload就是上传文件嘛对吧，还有呃下动关机shell的话，就是进入我们的这样子的一个shell。

然后还有其他的一些面向e x e c的话，就执行目标器上面的一个程序啊。

关于这些东西的话，在我这边的这一个，就是那个笔记上面的话有啊好啊。

我这边的话主要就是让大家看一下效果，我直接执行shell，也就是得到一个这样子的一个shell会话，我们能够去执行命令，然后在这的话它会又创建一个windows windows，就是一个二好。

我们可以通过session，刚才来进入到这个，进入到二之后的话，就得到了这样子的一个s h的一个shell，然后我们在这块就可以去执行命令，比如说l s的，也就是我当前呃，当前的话是在。

当前的话是在root目录下面，我root目录下面的话就是这些东西吗，我可以看一下对吧，就这些东西，然后关麦我当前的话是一个root的一个用户，然后的话我们就能够去进行一个命令的控制。

这边的话是一个dcat的一个指令模式，然后直连模式的话，它的一个就是它是直接通过这边的一个，i p对吧，也就是我们在呃这边我们通过这个dns cat所啊，创建了一个呃电的这一个呃服务是吧。

其实呃一个服务端，然后的话客户端的话，他来去迎接我这边ip的这个53的一个端口，就能够去建立一个临界进行连接之后的话，我们就能够去得到它的一个绘画，来去进行一个命令控制呃。

呃具体的一个效果的话就是像这样子啊，我们可以通过这样的一个方法，来去得到它的一个shell，啊上面的话就是这个直连模式啊，下面的话就是dk的一个中继模式，中介模式的话，我们需要去啊做一些准备。

首先第一个的话就是，我们需要有一台公网的一个服务器，这台服务器的话是作为一个我们的一个cnc，也就是我们的一个命令控制的一个服务器，其实就是呃像我就是我这一台嘛对吧，我这边还是。

推掉了就是啊我这句话就以这一台为例，作为我的一个啊命令控制的一个服务器，然后第二个呢就是一台靶机，就靶机的话，靶机的话呃，内网公网的都可以嘛，然后第三个就是一个可配自己写的一个域名。

其实主要的话就是这个就我们需要有一个，可以自己去进行一个解析的一个域名，就是你要去做做这个dns cat，这个中继模式的话，你需要有一个域名，你要去做一个配置，然后我们怎么去进行一个配置呢，我这边呃。

下面的话我们来一起来看一下，这配置dns域名的解析，呃，我这边的话是呃我用的公司的一个域名。

我这边是用的公司的这个疫苗，然后的话我在这边拍的，做了这样子的那个呃解析的配置啊，好和具体的一个配置的话，首先第一步的话就是我们需要去创建一个ag，ig的话，就是将我们自己的一个域名的一个解析服务器。

指向我们的我们的这个就是云服务器的一个ip，我们这边的一个云服务器的话，就是我们自己的这一个要去做一个，命令控制的一个服务器，也是我们的一个dcat服务所在的，这样子的一个服务器，好在这边的话。

我们将自己的这个就是域名解析服务器，这个n s。s点核心点cn的这个好域名，把它给指向了我这边的这一个ip，也就是我这边的这个机器人，然后的话呃第二个的话就是创建一个ns记录。

记录的话就是将我们的一个子域名，就是指定我们这边要去解析这一个子域，子域名的时候，它的一个dx的一个服务器的话，视为这个就是将我们的个解析这个域名的啊，并且批这个域名的时候。

就是再去进行一个dns解析的时候，他会呃给就是告诉他是呃我们的一个呃，电这个服务器的话是这个n s点核心点c，然后我们这边n s等核心点cn，这个域名解析服务器的话，又指向了我这边的这个啊。

云服务器的一个i p是吧，然后我这边配置好之后的话，配置好之后的话，我们如何去做一个这样子的一个启动呢，首先的话我们需要去启动我们的一个服务端，启动服务的话跟前面不一样的话。

就是我们在这边要指定我们的一个电的，一个就是域名服务，就这个啊，其实在后面我们去啊进行，就是它的一个域名解析去经历绘画之后的话，它的一个啊解析的一个域名的一个请求，dns请求的话，他都会是记录的。

是这边我这边呢这个d的一个啊这个玉米，然后的话呃杠杠secret的话就是指定我们要去做的，要去用的这样子的一个密钥嘛，我这边话就随便啊用了一个，然后执行之后的话，就是呃返回这样子的一些信息。

它同样都是在本地区，今天的一个53的一个端口，而我们的一个客户端是怎么启动呢，客户端的话就是呃指定我们这边的一个，dns的一个这一个域名，然后的话启动，启动之后的话就能够去得到这样子的一个绘画，好。

其实在这边它它的一个过程的话，就是像这样子，就是他我们的客户端它会去解析这个域名对吧，他要去找这个域名，它是怎么去解析，那么因为我们在配置这一个域名的时候，在这边做一个域名解析的时候。

配置了他的一个啊他的一个电解析服务器的话，为这个也就是他在去做一个域名解析的时候，他会去找到这个服务器，然后在这边的话它的一个这个服务器，它所指向的一个呃ip，就是它有这样子的一个i记录对吧。

也就是我们再去找这个服务器的时候，他会找到这个ip，然后找到这个ip之后的话，这个ip又是我们的这个呃v p s，或者说是我们那个cc服务器的这样子的，一个i p，然后他再去把我们的一个dns请求。

它会发到我们这边的这个ip的一个，53的一个端口，然后其实就是呃通过这样子的一个解析的，一个方式，把我们的这样子的一个数据再去解析这个域名，解析这个域名的时候，把它给发送到了我们服务器的。

图书上的一个端口，然后的话来去建立的这样子的一个零件。

然后具体的一个效果的话就是这样子啊，我们实际来看一下吧，首先的话呃我这边直接复制。

前面的打掉了，然后我这边执行之后的话，就是这样子是吧。

就服务端的话已经启动了，然后我们下面的话启动我们的一个客户端。

客户端的话我就在我本地的这个机器，就这样子，然后可以看到在这边执行之后的话，他就呃他就呃已经晋级成功了对吧，我们的一个筛选的话已经已经启动了。

那我们在这边服务端的话，可以看到在这边的话就得到了这样子的一个啊，windows windows这样子的一个控制台窗口对吧，然后就是同样的一个操作，我们可以进入到这样子的一个控制台对吧。

然后执行shell shell之后的话，它就会得到一个命令控制对啊。

其实在这边他有这样子的一个，他有这样子的一个信息，就是我们这边的一个服务端发，就是执行这个需要之后的话，他会在这些客户端，它会呃有一个这样子的一个，就是得到这样子的一个命令控制的这个需要嘛，是吧。

有这样的一个请求发送到了客户端，然后的话它就会启动一个这样子的一个，b s h的一个系对吧，以及它的一个需要的一个id是这个610。

也就是到我们的一个服务端，它就是这个二对吧，然后我们可以通过筛选gi，指定这一个，来去进入到它的一个啊s h的一个线，我当前的目录还是各一个是吧，这边的话这东西有点多啊。

也就是我们通过这样的一个方法，它已经呃成功地建立了这样子的一个呃，命令控制的一个通道，然后所采用的一个方式的话，就是这个dx cat 2的一个中继模式，然后呃其实大家再去做这个的话，其实主要的一个地方。

那就是这边的一个域名解析，你首先你要有一个自己的一个玉米，就你需要自己去买一个域名，然后呃其实我自己有域名，但是要备案了，然后我一直没背啊，所以我这边他是直接用的公式的。

呃呃其实大家可以，就是如果大家自己在本地有的话。

在本地有下，有自己编译的这样子的一个dns cat的话啊，你可以就是执行这边的这个命令。

我这边的话就能够得到你的一个小，就有谁想试一下嘛。

有谁想试一下吗，就执行执行这一个就可以了，呃以上的内容的话。

大家能能听懂吗，有没有什么疑问，就关于这个电pet啊，就是通过这个电的一个呃方式，然后其实在这边我们有静电连接对吧。

我们可以来查看一下它的一个流量，就是查看它的一个dns请求的一个流量，我们这边的话可以通过tcp tcp dp，在linux下面的话呃，就是，mini是什么来着，然后其实可以看到对吧，就我们在这边啊。

我这边的话就是通过dd cp dp来抓取。

就是呃访问端口，就是访问目标端口是我这边53的，就是我本地53端口的这样子的一个请求啊，好在这的话就能够去看到对吧，这边先停掉，然后在这边可以看到有这样子的一些景区，是有限ttext新name。

还有mx对吧，这样子的一个请求，然后呃其实dns cat的话，它的这样子的一个，他再去选择这样子的一个，电解析的一个类型的时候，它是会像这样子，就是呃通过在这边他是这一些模式，它都会好不好。

这些类型他都会去就是随机的去那个像c内玩，text fx等等这一些类型，它会去交叉的去去进行一个使用，然后在这边他去请求的一个数据啊，我们可以看到就是这边吧，这边的话就是其实就是我们所传递的这样子的。

一个数据，它在这边，然后它传递给了一个域名的话，就是我们所设置的这样子的一个dx的一个域名，我们自己的一个域名对吧，呃呃其实大家也可以去试一下，就是那个直连模式，直连模式的话就是呃电cat。

它是会有这样子的一个关键的一个字，我这句话我就不尝试了，大家可以自己通过这样的方法来去呃，查看它的一个流量，呃大家有疑问吗，应该没有疑问吧，啊有没疑问的，扣个扣个一，有疑问的扣二，就两个同学吗。

其他同学呢能能理解吗，一时不知从哪问起呃，那那那你是没理解完，还是说又是呃要等自己操作，就是没理解呃，哪里没理解呢，我可以再给你呃，大概的说一下，好啊，你看录播也行吧，那那你看录播吧，然后有问题再问吧。

好那么我们继续啊，我们继续后面的一个内容，第三部分的内容，第三部分他就是这个好ptnt，也就是通过sm p c导来做来去，和反弹线来去建立我们的一个线呃，在这边的话嗯，先大概的了解一下。

就是s m p隧道的它的一个作用，就其实呃前面我们介绍的这些，其实它都是有它相应的一个作用的对吧，首先第一个向我们的这个htp的一个隧道，hp隧道的话就是我们得到了它的一个服务对吧。

它是像这种web服务，以及他的得到了这个机器的一个稀有，它是只有像这种htp的一个流量，或者说它只能从八零端口而去呃，访问外网对吧，也就是资源学htp的这种流量的话，那么我们要去呃。

比如说我们生成一个码，我们传上去，然后我们执行的话是像这种tcp的这种流量对吧，那么它是无法去呃，连接到我们的一个呃服务端的，那么在这里在这边的话，我们就选择通过这样子的一个htp的，这样子的一个隧道。

因为我们通过的是他，我们使用的话是这样子的一个脚本，这个脚本的话在他的一个服务端上面执行对吧，然后他解释之前的话，它就能够呃，跟我们这边的一个呃脚本的这个客户端，建立一个连接啊，建立连接之后的话。

来得到这样子的一个socks的一个代理通道，然后其实这边的一个代言通的话，其实是通过这样这边的一个htp的一个协议，而去进行的一个通信啊，这个的话就是这个hp带你学到的一个作用。

然后呃电视cat 2的话就是呃，因为我们通过前面的一些操作对吧，能够去知道，它其实是通过我们那个电的一个解析来去进行，的一个数据的一个传递对吧，那么在我们的一个实际的这种环境当中对吧，他可能就是。

他可能就是它不允许像这种我们的一个呃，tcp对吧，tcp u d p的这种啊协议的这样子的一个请求，数据的一个传递啊，那么我们想要去得到他的这样子的一个shell是吧，得到这个机器的一个需要以及把握。

能够去建立这样子的一个命令控制的话，那么我们可以通过这样子的一个点，s的一个它的一个解析协议，因为在呃在防火墙或者说在内网当中的话，你要去进行一个域名的解析的话，那么d的一个协议的话。

他肯定是能够去被允许去啊进出的对吧，因为你要去你要你要去访问域名，那么你就需要域名解析，那么你要域名解析的话，那么你就需要有53端口是，然后我们在这在这边的话，我们就可以通过他的一个点的一个域名解析。

来去建立这样子的一个隧道，来进行一个命令控制，然后的话到这边，第三个的话就是呃我们通过某种方法对吧，得到了一个机器的一个shell，但是这个需要的话，我们就不适合去进行一个命令的一个控制对吧。

然后的话它的这个环境的话，又它不允许像t c p u d p，还有像d s h e p等等这种协议，它不能够出网，那么他只有就是只有只能够通过s m p协议，去进行一个出网的话。

那么我们可以通过这样子的一个呃方法，就是来去建立一个s m p的一个隧道，然而在这块主要就是通过介绍这个工具啊，这个pta的一个工具来给大家介绍，然后这个工具它那个一些参数的一个使用的话。

我这边也不多说，大家自己呃自己去了解好吧，我这边的话其实呃都是中英文对照对吧，啊不是啊，就是都是中文的对吧，中文大家都能看得懂吗，就是以及参数它对应的一个意思，呃呃首先第一个的话。

我这边的话就是有列举了这样子的三个例子啊，呃三，呃下面的话我会以这样子的三个例子啊，就是给大家呃说明讲解，这样子的一个呃p sp隧道的一个应用，首先第一个号就是一个sm p隧道，去转发tcp来上线。

就是把我们的一个tcp的一个流量，通过这边的一个sp的隧道，然后的话做一个转发来去得到它的一个呃shell，来去进行一个命令控制，然后具体的一个使用的方法的话，就是，首先第一步，我们的一个ups。

需要去启动一个sp隧道的一个服务端。

也就是用到我们这边的这个pta的一个工具，我这边的话，呃在在哪呢，就是这个就是这个pta这个，然后我们首先的话需要去通过这个pt。

还去启动一个sm p隧道的一个服务端，然后启动的一个方法就是像这样子，gupta呃，其实他的你直接直接干pta。

他在这边它有中文英文的一个对照，就是选项的一个意思，而我们这边的话使用的一个方法就是get type，还去指定我们这边的一个类型。

a型的话。

我这边的话就是server，因为我是启动一个服务端吧对吧，然后如果说你是客户端的话。

那么你干type指定的一个类型的就是服务端好，不就是客户端，所以的话在这边其实看参数的话，你会发现就是有服务服务舱，服务器的一个参数对吧，还有客户端的一个参数就是你啊，如果你指定的一个类型就干type。

你指定是服务端，那么你可以使用这样子的一些参数，能够去有这样子的一些功能对吧，那么如果是你是在客户端，你要去连接服务端，那么你可以使用这样子的一些参数。

好我在这边启动之后的话，就是这样子的一个效果。

看可执行啊，执行之后的话就像这样子，当的话在这边的话，因为呃我们可以看到。

就是他这边有这样子的一些日志对吧，他在这边可以看到它是没有数据的，一个传过来的对吧，就是零，然后呃这个时候我们来骗一下吧，我这边来拼一下这个ip，就是这，我这边平凉，屁股疼，我是惊掉了，好先看后面的吧。

就是等会的话会有数据啊，这边的话暂时没有好，这边服务端启动了对吧，然后我们在把这上面启动我们的一个客户端，启动客户端的话就是呃，我这边的话是那个机器是哪，呃这边我把它，客户端的一个启动面的话。

就是像这样的，我这边我就不嗯不敲了，我直接复制粘贴啊，就像这样子。

这边执行之后的话呃，执行之后的话，他会来去连接我们这边的一个服务端，我们可以在服务端这边来看一下，然后你现在看的话，你就会发现他会一直有这样子的一个数据，就是ping from从我这边的这个ip。

这个的话就是我当前的一个公网的一个ip，然后他来就是来骗了我这边对吧，其实就是连接到我这边的一个，服务端和服务端嘛对吧，然后其实前面的话，它是没有这样子的一些数据的对吧，因为没有没有进行连接。

然后现在建立连接的话，可以看到它就是隔一个的话，它就会有这样子的一个就是ping啊，有这样子的一个ping的一个请求啊，呃呃其实在这边的话，就是大家如果不想看到这样子的这些日志的话。

就我们可以通过这样子的一个方法，就是像在这边啊客户端对吧，我们可以通过加这样子的两个参数，就gal print及gal log，然后我们在这里就看不到它的相关的，这种就是连接的请求的一个日志是。

然而我们具体的来看一下这条命令，它的意思啊。

其实我这边pd的话已经有详细的写了，就是我们这边的一个客户端，它会去监听我们这边的一个啊这边的客户端，它会去监听本地的这样子的，一个九九千999的一个端口对吧，然后他今天这个端口之后的话。

他会我们这边杠s的话，就指定我们的一个pin server，也就是啊，这个而片仓的隧道的这一个服务端的ip，也就是呃我这边的这个ip，对吧，就这边我服务到了一个ip，然后他会去进行一个连接。

然后它连接之后连接之后的话，gt的话，就是它会将我们这边所收到的这样子的一个，从这个九九千999这个端口，所接收到的这样子的一个tcp的一个数据包，这边干tcp的一个数据包。

把它给转到了我这边的这一个啊，服务端的一个7777的一个端口。

然而这边干tcp的这个选项的话。

看p p t吧，这边有有说对吧，就干tcp就是设置是否转化，tcp就默认为零的话，就是它是关闭的。

然后的话你要去启用它转换tcp的话，那么你要干psp指定为一，同理还有其他的这些参数都是这样子的，就默认的话它是都是关闭的，然后你要启用的话，就是这个选项后面接一个一就是启用。

那么在这边我们建立连接之后对吧。

我们要如何去得到需要，得到需要的话呃，在对话我们通过msf的一个方法，就首先的话我们msf新生成一个法克，需要的一个payload，然后这个payload的话，它生成的话跟我们前面生成它是有区别的。

要注意啊，能看到它的一个不同的一个地方，那就是我们这边指定的一个our host，也就是我们这边生成的这个payload，这个ex的这个程序对吧，他去连接了一个ip及端口，它是我本地的这样子的一个ip。

以及这边的一个九九千999的一个端口，那么这边它生成的这个exe程序对吧，它有什么用呢，也就是因为在这边的话，他是去反弹一个shell对吧，而我们这边生成了一个payload。

就是指定那个payo的是一个tcp的好，我们在这边生成了这样子的一个pad。

它执行它在这边目标机器上面。

它执行之后对吧，执行之后的话，它其实是一个tcp的一个前奏，而我们这边的这个环境的话，如果说你要去。

如果说你这边你要去连接的一个ip的话，是我外网的一个mc服务器的一个ip，以及端口的话，那么它是一个tcp的一个请求连接，然后我当前的这个环境的话，它是不允许tc p，u d p的这种协议的一个传输的。

那么所以的话我这边执行就转，就是在目标机上面执行之后，也不会有，也不会跟我们的一个服务端去建立连接，因为它的一个请求它根本就是发送不出去，所以在这边的话我们生成这一个的话。

它其实是像就是我们的一个tcp的一个请求，它是其实是发送到了我们这边的一个。

九九千999的一个端口，那么这边这个9999端口的话，其实就是我们这边的一个i s m p隧道的，这个所今天的这个端口。

那么最后的一个结果的话，就是我这边执行执行这个程序，执行之后的话它的一个tcp的一个请求啊，他会去连接这边的一个。

9999的一个端口，然后这边的一个呃，因为我们在这边，他通过这个平仓的，建立了这样的s m p的一个隧道，然后他会把这边来自9999，这个端口的一个tcp的连接请求，它会转到这边的。

对你的这个ip以及它的一个端口，然后这边的一个i p接端口的话，其实就是我们要去啊，就是我们的一个msf服务端所在的一个端口，也就是等待客户端来去连接的，这样子的一个ip以及端口。

那么我们呃具体的来看一下直接的一个操作。

我这边的话，我这边重新来一下，就是不要这些日子了，他一直在刷，有点多了。

呃呃现在的话就没有这些这些日子了对吧，没有这些日子已经信相关的一些信息了，然后我在这边的话呃。

我在这边的话呃，我这边呢这一个服务器的话，有一个msf的一个框架，啊呃我们要去。

首先的话第一步的话，我们需要去生成这样子的一个payload。

这边我直接复制啊，敲了。

看了这个嗯，我这边已经有了，我看一下，我这不生成了吧，哦本地应该是有的，那这里就这一个9999，然后我们生成了这个，生成了这样子的一个po的对吧，我们上传到我们的一个目标机器上面去。

然后的话执行执行的话，我们这边执行之后对吧，执行之后的话嗯好我这边msf我们看看今天，啊我这边是开放的40，这是我们的一个payload，然后的话这是我们的一个host。

以及端口是我们的这样output，我们这边的一个端口的话，其实是呃这边啊就是我们这边客户端嗯。

这边客户端对吧，他会把我们那个pcb那个请求，他会转到我们这边的一个v p s的。

这个ip的这个端口，所以的话我们只需要去精听，这个777的一个端口。

那么我们就能够去啊，接收到来自客户端的这样的一个。

tcp的一段连接请求。

然后可以看到对吧，在这的话就直接都建立了这样的一个筛选一。

啊对吧，我们可以看到呃，因为我当其中是已经呃执行了，执行了之后的话，它的一个连接的一个请求，它会发到这个端口，发到这边的一个9999的一个端口，然后他通过这边的一个ping。

通过我这边的一个pin server，然后他会把这样子的一个临界的一个请求，他会发到这边来，发到这边来的话，他会做一个转发，然后转发到这边的这个ip。

对这个ip的话，其实你可以就是因为我当前的话是这个pin server，跟我这个m4 s的服务器都在同一个，这都是同一个服务器嘛，所以的话都是同样的对。

然后这句话就是转到了这个端口，然后的话这个端口的话。

就是我们msf所今天的一个端口，然后的话就得到了他的一个筛选，就这个三选一，我们进来看一下是吧，是我当前的一个主机，这边的话resist停掉。

这个的话就是呃，第一个就是通过i s n p c导，来去转发我们的一个tcp的一个，这种请求的一个零件，然后的话上线了msf，然后结果的话最后的结果的话就像这样子，然后第二个就是s m p的一个隧道。

来去转发我们的个socks来去上线，然而我们知道说不是，他其实呃也是通过tcp的一个那个，请求的一个协议对吧，然后的话在这边的话呃，他的这一个利用的一个方法的话，就是主要的话就是在这边的话。

它会有一个不同的一个地方，就是我们在这边去生成这个payload的时候，跟我们前面去生成po的话有很大的不一样，因为我们这边要去实现的一个目的，是通过socks的一个方式来去转发。

我们的一个socks的一个这样子的一个呃，就是通过socks代理的一个方式，来去转发我们这边的一个请求，呃然后首先第一步的话都是一样的，就是启动我们那个服务端，然后启动之后的话。

我们的一个靶机要启动我们的一个客户端，这边的启动客户端的话呃，跟前面的话它的一个不同的地方，就是这边多了这个杠socks的一个参数，这边的这个干socks的一个参数啊。

就是启用我们的一个socks的这样子的一个呃，看一下，开启我们的一个sos 5的一个转换，好我们在这边嗯，我们在这边执行之后对吧，执行之后的话，它做了什么呢，就是我们这边的一个客户端。

它会监听我们本地的一个九，9999的一个端口，然后这个端口的话，它其实就是启动了一个socks 5的一个服务，然后这个socks 5的一个服务的话，它会等待就是我们的一个呃我们的一个payload。

也就是我们在这边所生成的这个，payload的一个零件，然后在这边的话就是呃，如果这边这边的一个payload，它连接到了我们这边的一个cp，socks的一个服务端之后对吧，连接之后的话。

它会把他的这样子的一个请求，它会通过这边的一个sp的一个隧道来转发到，就是转发我们这边的一个sos，这个代理的一个请求到目的地址，这边目的地址的话就是这个我这边的一个呃。

msf 4 msf服务端的呃8899的一个端口，然后这边的一个889有端口的话，其实就是我这边，我这边m3 f所生成的这个payload的话，他去进行的一个连接的话，它的一个呃ip以及端口。

就是我们这边所设置设置的好呃，我们来具体的来看一下，首先的话我们把机启动我们的一个客户端啊，我这边咱们复制一下，把机子形成一个命令的话，就是这样这一个啊，不是不是这个，这个这个嗯788，8995，岗位。

啊呃因为我这边的话。

这边的一个服务端的话已经起来了对吧，然后我这边的一个客户端的话是在这里是。

然后我执行启动我的一个客户端。

启动之后的话，他会在本地区进行这一个端口对吧，然后他不仅今天的一个端口，而且它开启了一个收拾的一个服务端，就是它是在这个端口。

然后这边开启之后的话，我这边通过msf生成了这样子的一个po的好，在这边的话，我们来看一下这边的一个生成pro的一个命令，就是首先的话就是指定这个payload嘛，就是跟前面是一样的对吧，好。

我们那个a host要注意的是，指定不是像我们前面指定本地，而是指定我们这边的这个呃，这边的这一个msf服务端，就是这边msf服务所进行的z所进行的，这样子的一个端口。

那么这样子的ip以及它对应的一个端口，然后的话在这边的话有多了这样子的三个参数，就这一个hp prox type以及还有host，还有p，其实从字面意思的话，我们也能够知道，就是在生成这个po的时候。

它指定了这样子的一个呃socks的一个代理类型，然后它的一个连接的一个i p，就是它生成了这个pad，它会去零通过socks，socks的一个通道去连接这边的一个ip及端口。

然后这边的一个ip端口的话，其实就是我们这边通过这个ptas，说今天的这个socks服务端。

所在所在的一个端口对吧，然后在这边客户端他执行之后的话，它就会与我这边的一个socks的一个服务端，进行连接，然后的话我的一个请求的话，他就会去呃通过这边的一个连接。

它会通过我们这边的一个s n p的一个隧道，把它给转到我们这边的一个ip，以及对应的一个端口上面去，我这边的话我就不重新去那个了，我这边已经呃也生成了这样子的一个，我就不再重新去生成了。

然后我这边只在他们的cf上面做一个监听，就是设置我们的一个app的话是8899是吧，行今天这一个方法就选择一个端口，然后今天之后的话，我再进行执行执行这一个8899，然后我们看这里。

你看到我这边执行之后的话。

他密码的话就得到这样的一个选，对吧，就是一个筛选二，这是第二个。

就其实它的一个呃，它的一个与使用的这样子的一个方法，跟前面的第一个其实是类似的对吧，你会发现，然后指示的话，它的一个在这边的话跟前面的不同的地方的话，就是呃他转发的是我们的一个socks的一个。

这样子的一个请求啊，不说的这样子的一个概念，然后第三个的话就是这个sp隧道转发，转发gcp上线cs，就其实cs跟msf的话都是类似的吧对吧，然后呃具体的一个的话我这边就是念出来的话。

就是给大家作为一个例子嘛，就是大家再去碰到这个对吧，你想要转到cs就转cs了，你想就你哪个用的顺手的话，你就呃转哪个吧，然后呃在这边的话，它的一个步骤的话跟前面其实类似啊，就是启动服务端。

然后的话把机启动客户端，启动客户端的话，在这边的话呃它的一个配置的话也是类似的，那命令的话是一样的，同样的开启tcp tcp的一个转发，不同的话就是在cs客户端上面的一个配置，和服务端的一个配置。

我们首先需要去创建这样的一个listen，就是一个监听器创建的，这个监听器的话就是呃它的一个配置的话，就是像这样子，就是我们那个hd p s的一个host，注意的话是选择我们的一个本地，以及这边的一个。

都是我们的一个压七点点0。1啊，然后还有的话就是这边的啊hp的一个port，以及我们的就是ci的一个port以及班的一个port，而关于这两个的话，在这边有解释，就是host，还有put的话。

就ci的一个port话，就是我们sm p隧道这个客户端，所今天的一个ip及端口，也就是我们的一个ci的一个连接的话，它会它会就是连接到我们这边的，一个8899的一个端口对吧，然后的话呃。

这个port这个伴的话，就是为转发的一个目的地址的一个端口，然后在这边他建立的，它与我们这边，它连接到我这边的一个8899的一个端口，说话，我们做一个转发，把它转发到我的一个777的一个端口。

然后这边的一个机器的一个端口的话，其实就是我这边的一个呃，继电器的一个，那个就是接受希尔的这样子的一个端口，因为我们在这边呃，没问题啊，然后的话我们需要去生成这样子的一个，反向配漏的，然后这边拍照的话。

就是你linux不windows上面的话，就生成这样的一个e x一嘛对吧，然后我这边64的话，就勾选这个64的一个po的，然后生成之后的话，我们执行执行之后的话就能够去得到这个选好。

这边的话看一下我这边生成的是在哪，从哪去，现在是我忘了，现在呢呃这边这边还需要我去操作吗，那要不大家自己课后去操作吧，好吧，就作为一个课后作业，因为我这边的话呃，包括截图啊。

已经命令的话都已经给给出来哦，对都已经都已经详细的给出来了对吧，应该没有什么问题啊，大家啊，以上的话就是我们本节课的所有内容啊，大家有没有什么问题啊，没有问题的话，那么我们本节课的话就到这边就结束了。

呃有问题的啊，没问题的扣一，有问题的扣二，然后呃自己课后去做的扣三，ok啊，那应该都是就暂时性没没有什么问题啊，然后的话大家自己课后去尝试吧，然后课后作业的话，就是把我ppt上面的这些内容的话。

都自己动手去操作一下好吧，因为这些东西的话都是需要你自己去操作的，然后还有就是关于这个d dns cat，这个如果你没有域名的话，你可能你做不了对吧，就这一个的话就呃这个的话，如果你没有域名的话。

你可能做不了的话，就呃就不硬性要求里面那个吧，当然的话如果你想做的话，那么你可以自己去买一个域名，然后的话呃就是你在国内域名的话都要备案的，就比较麻烦吧，就好吧好啊，那么本期看视频的话就到这边就结束了。

大家早点休息好不好，有问题的话呃明天问我吧。

P68：第37天：权限提升-Windows提权信息收集、内核漏洞提权 - 网络安全就业推荐 - BV1Zu411s79i

呃大家晚上，然后大家能听到我声音的，以及没有杂音的话，大家在讨论区扣个一好吧，而其他同学呢，我就两位同学吗，其他同学呢能能听到吗，听到的话在讨论区扣个一好吧，这里17个人是，有在吗。

啊应该应该是都能听得到，嗯啊应该是都能听得到，那么呃其他不多说了，我们正式开始我们今天的一个课程内容好，今天的话主要给大家介绍的是，windows的一个系统提权。

然后我们本节课的话主要的话就是给大家介绍，就围绕windows系统下面的一个提前，给大家做一个介绍，主要的话分为了这四块的内容，第一块第一块的话就是权限提升的一个概述。

第二块是windows提权信息的一个收集，第三关的话是针对windows系统下面的内核漏洞的，一个提前的一个方法，以及相关的一些技巧，第四个的话就是windows系统服务漏洞的一个利用。

呃首先的话我们先来了解一下什么是权限提升，也就是对他的一个概述啊，权限提升的话，我这边用这样子的一句话做了一个概括，就是呃比较笼统吧，应该这样的话呃，就是大概是这样子的一个意思啊。

就是呃攻击者通过安全漏洞，把获取到的这种受限制的一个低权限，用户突破限制，然后的话提前至高权限的一个管理员用户，从而获得对整个系统的一个控制权，就是我们这边的一个权限提升的话，就到权限提升这一步。

这一步的步骤的话，我们前面的话有一个前提，就是你需要有相应的一个啊，就已经得到了目标系统的某一个权限，就是说这个权限是什么呢，这是什么样子的一个意思呢，就是说比如说我们前面对吧，有介绍寻找各种这种啊。

web服务器的一个突破口对吧，或者说相应的这样子的一些服务器的一个漏洞，通过这样子的一些漏洞来去得到一个web share是吧，那么这个web share的话也就是你的一个呃用户权限，一般的话。

你得到了这个web，需要像呃我们的一个阿帕奇对吧，那么就是有这样子的一个阿帕奇，阿帕奇的这样子的一个用户权限对吧，以及的话还有就是这种3w，当然的话呃如果还有的话，就是你通过搜狗输入对吧。

得到了一个sc share，那么你得到的话就是一个像这样子的一个mysql，这样子的一个cl server的这样子的一个权限啊，那么这样子的一个权限的话，它其实它的一个权限是比较低的。

也就是我们这边所说的所说的一个，低权限的一个用户，然而这些低权限用户，他再去对我们的一个目标系统，去进行相应的一个操作，这时候的话它会有相应的一个限制对吧，像比如说你要去访问一个目录。

你要去访问啊root这种目录下面，或者说其他用户的这样子的一个加入的话，你是没有权限去进行一个访问的，以及呃就是你想要去执行一个程序对吧，你也需要有相对应的一个权限，你才能够进行一个执行。

那么我们提前的话就是说它的一个目的，就是突破这样子的一个限制来去得到啊，系统的一个管理员的一个权限，然后的话能够去控制它的一个系统好啊，我这边的话以这样子的一个方式啊，表达了这样子的一个意思啊。

就是windows系统下面的话，就是通过user这样子的一个普通用户对吧，我们把它提前到我们的一个administrator，也就是我们的一个管理用户对吧，好的话，我们得到了这样子的一个管理员。

用户的话，其实这样子的一个administrate这个用户，他不是我们系统的一个啊，最高的一个权限的一个用户呃，admire的话，它还有像啊system这样子的一个，就是这样子的一个系统用户。

然而系统用户的话，他对他对你windows系统的话，它的一个操作权限的话比admin的话要大很多，就是他能够去啊操作windows系统下面的一些比较，就是比较底层的这样子的一些文件，以及一些操作。

然后a linux系统下面的话就是从我们的一个user，一个普通用户，然后提前到我们的一个root用户是吧，就我们都知道linux系统下面的话，它的一个呃root用户的话，它是它的。

它是系统的一个最高权限，我们得到root用户的话，我们就能够去超去对整个系统，整个服务器去做啊，任意的一个操作对吧，然后第二个的话就是提成类别，这边的话给大家介绍一下啊。

我这边的话同样的就是分为了这样子的啊，做了一个基本的一个分类，首先第一话就是本地提权，就本地提取的话，就是在一个低权限的一个用户下，我们通过一些条件来去直接提升到系统的一个，最高权限。

然后这边的话注意的话是有一些条件，这些条件的话就是我们的这样子的一个呃系统，它是有相对应的应用程序的一个漏洞，以及对应的一个系统漏洞，我们通过这样子的一些漏洞，我们才能够去进行这样子的一个提前操作。

来得到它的一个高权限用户，然后第二个的话就是远程提权，远程提权的话就是从字面意思我们也知道对吧，就是通过漏洞应用程序，然后直接获取远程服务器的一个权限，其实在这边的话我们去进行这样的一个提前。

你会发现的话，就是说我们要去进行这样的一个操作，我们都是要需要去利用相对应的这样子的，一些漏洞对吧，就包括应用程序，还有系统漏洞，也就是说你要去提权的话，你首先要明确的一点。

就是你的这个系统你要有相应的一个漏洞，你要有相应的能够去进行一个提前的一个漏洞，你才能够说有机会去进行一个提前，以及在这边的话要强调这一点的话，就是你提前，不是说你你想提前就能够提前的是吧。

你首先要去啊知道，或者说你首先要能够去确定这个系统，是能够去进行一个提前的，当然的话啊，如果说你有知道，我们或者说大家都不知道这样不知道的，这样子的一些漏洞是吧，就比如说年代。

那么你去这个的话就呃就另当别论对吧，好像一般的话像我们要去进行这样这样子的，一个期权的话，通常的话都是利用，就是啊现有的已经被爆出来的，这样子的一些提权漏洞，是对啊，说到提权的话。

这个东西的话其实相当的复杂，因为你要去你的这样一个权限的一个提升，它是涉及到了你的一个windows系统，或者说linux系统下面的，一些底层的一些运行机制是吧，以及它的一些代码的一些机制。

那么针对这样子的一些漏洞的话，你如果你对他的这样子的一个系统，以及你对它的一个系统的一个底层的话，你不了解的话，你是呃就是很难去发现这样的一个漏洞的，所以说要想去找到，或者说发现这样子的一个漏洞的话。

那么你本身的话就是呃对这些东西的话，就是报的就是相当好，就你能够去发现这样子的一个漏洞的话，那么其实你就已经是一个大佬了，好在这边的话我也就是做了这样子的一个，就是第三个操作系统的一个提前。

然后操作系统提权的话，我们通常的话就是呃，就我们常用的以及常见的对吧，就是windows and linux嘛，当然的话呃mac mac的话，这些还有其他的这样子的一些呃。

呃那些系统的话在这边的话呃不会多那个多数，就呃主要的话就是给大家介绍，就是windows及linux系统下面的啊，啊呃我这边还有列举了这样子的一些，而在后面的话就是我们本期的话。

主要就是对windows下面的啊，这样子的一些提权漏洞做一个介绍，以及我们如何去就是说利用这样子的一些啊，提权漏洞的这样子的一个呃方法，来去进行一个提前，然后呃下后面的话还会给大家介绍。

就是linux系统下面的一个提取好呃，第四个的话就是应用程序提权，应用程序的话，就呃我这边的话有列举这样子的一些像呃sex seven，就my cycle对吧，还有等等的。

其他的其他的这样子的一些应用程序，我们通过他的这样子的一个应用程序来去进行，应用程序的一个漏洞来去进行相应的一个提权，在后面的话会给大家介绍，就是说啊my cycle以及sel server啊。

还有那个poor gucycle的这样子的一些，数据库的这样子的一个应用提取，因为其实我们再去进行相应的一个，就说去对这样子的一些去做渗透测试对吧，或者说你去挖掘这src的时候对吧。

那么你像比如说你的一个sql注入漏洞啊，你sql注入漏洞的话，它是涉及到数据库的对吧，你通过sql注入，你得到了它的一个shell，那么你可以去尝试去尝试去利用这样子的一个，呃数据库的这样子的一个提权。

来去得到更高的一个权限，好第三个的话就是提前条件，提权条件的话，其实前面有啊，有大概的说了对吧，就是首先第一个的话，你需要拥有这样子的一个web需要，就是你需要有一个普通的一个用户权限。

我们的一个齐全的话，就是基于这样子的啊，你拥有的这样子的一个，普通用户的一个权限之上啊，不啊，就是在这一个啊，拥有普通用户权限的一个基础之上，而去进行一个权限的一个提升对吧。

如果说你都没有这样子的一个基本的一个权限，你和就是你怎么去进行一个你选了对吧，因为你根本就操作不了这样子的一个机器，也就是说你啊不可能你凭空的，你就能知道它存在有这样子的一些啊。

可以去利用的一个提权漏洞是吧，而第二个的话就是拥有某些软件或者说服务的，这样子的一个账号密码，就是说通过账号密码的一个方式，提前的话是最简单直接的一个方法是吧，就比如说我的一个windows系统。

我都知道你的一个admin的这样子的一个用户啊，以及它的一个账号密码，那么我就能够直接去得到你的一个对面用户的，一个权限嘛对吧，这个的话应该没有什么疑问，那么我得到这一个你的一个admin用户权限的话。

在后面的话会有相应的一些方法，就我们可以基于你要的面对一个权限，来去进行一个啊get system，也就是得到你的一个system用户的一个，就得到一个system的权限啊。

第三个就是本地或远程服务器上，需要存在一个漏洞，就我们就一般的话对吧，一般的话大家去见一个齐全，其实利用的都是现有的，已经爆出来的这样子的一些期权的一个漏洞，零队的话另当别论。

那么我们就说我们它要去进行一个提前的话，就有这样子的一个前提对吧，我需要我们确定，就是说他的一个服务器上面是存在，能够去进一个提前的一个漏洞的，所以的话我们就是说我们需要去对。

我们的一个目标做相应的这样的一个提前的，一个信息收集，待会的话会有介绍啊，最后的话就是拥有漏洞利用工具代码，这个的话其实跟第三点的话就是啊一样的嘛，对吧，就是你知你知道就是说你知道他已经有的。

已经被爆出来的这样子的一些漏洞，你知道没用嘛，你需要能够去进行一个利用吗，那么去进行一个利用的话，那么你就需要有相应的这样子的一个，应用的一个代码对吧，利用的一个工具。

当然的话就像我们去进行这样的一个操作的话，都是就直接去使用现有的嘛，啊，呃第四个的话就是windows的一些基本的一个，提前思路，其实也不算思路吧，就是啊我这边给大家介绍的这样的一个windows。

提前windows下面提取的相应的啊一些一些点，以及相应的一些方法啊，呃首先第一个的话就是前期的一个信息收集，就其实我们再去做渗透测试对吧，渗透测试以及呃你做这样子的一个测试的话，其实信息收集的话。

一般的都是做，都是第一个要去做的这样子的一个事情对吧，因其实渗透测试的一个本质的话也可以，就啊是哪位大佬说的，就是它的一个本质的话，其实就是信息收集为你的一个信息收集，你收集到的一个信息的话。

就决定了你去做这样子的一个呃，攻击测试的一个呃方向，以及你的一个就是你的一个广度以及宽度对吧，因为你知道的，你你收集到的相应的这样的一些信息，就是说它的一些漏洞信息你越多。

那么你能够去做的一个啊利用的方法，那就更多对吧，以及你能够去得到的一个成果也就更多，然后呃第二个的话就是第二个，第二点已经到，第四点的话就是我们本节课会去有介绍的。

像啊matt price的一个提前以及呃，其实下节课的话会讲，就是，m s f以及cs下面的啊，就是我们利用他的这样子的一个渗透测试框架，里面，它自带的有这样子的一些提升的一个呃模块。

然后我们可以直接去进行一个使用啊，然后的话就是内核漏洞，还有服务漏洞，还有注册表等等的，这样子的一点，就是我们再去向在windows系统下面的话，我们可以去着重的去关注这样子的一些点，来去寻找。

是否存在这样子的一个一些提前的一个漏洞，呃最近讲课讲的有点多啊，嗓子有点不是很很很舒服，有可能啊可能会就是清下喉咙什么的，可能会稍微有点杂音啊，好吧，大家就是不要介意，呃呃讲着讲着突然喉咙就有点卡了。

就卡了的话就呃讲不顺，讲不顺畅，呃下面的话第二部分就是我们的一个windows提权的，一个信息收集，呃，在这边的话，首先第一个的话就是获取一个meta的一个需要，我在这边的话就是以这样子的一个。

对msf的一个作为，作为一个例子，就我们呃就是达到呃，达到前面我们所说的所说到的一个前提，的一个条件，就是我们首先需要有相应的一个效，也就是有相应的一个啊用户权限，对吧啊。

关于关于怎么去得到这样一个shell的话，我这边我就不多说了，就呃前面在讲msf的时候，以及在后面去进行相应的反弹，shell等等的这样子的一些操作已经讲了，讲了很多了对吧。

大家应该都已经就是对这样子的一些基本的，一个操作应该是烂熟于心了是吧，就是大概是这样子的一个过程对吧，然后我们得到一个就是普通用户的一个权限，就在这边的话，主要就是模拟前面得到一个基本的一个权限吧。

就是表达这样的一个意思，当然的话啊就是我们通过web的一个漏洞对吧，得到一个web shell，然后的话我们通过web share，同样的也可以去反弹一个shell，反弹到msf上面去嘛。

以及啊cs也是一样的，呃，呃下面的话就是一些信息收集的一些方法，以及呃脚本工具吧，就其实呃我们去做这样子的一个信息收集的话，其实呃前面在讲那个，在讲内网的一个信息收集的时候对吧。

就已经有介绍相应的这样子的一些命令了是吧，命令以及相应的一些呃，就是在相应的一些语法对吧，然后其实在在这边的话，我就不会去单独的去对某一个命令，去做一个介绍，就就是大体的这样子的一些。

就是说我们如何去使用这样子的一些，像比如说w m i c以及sc这样子的一些windows系统，下面，它内置了这样子的一些服务的一些命，令行的一个程序，来利用它来去进行一个信息收集，及。

相应的通过这样子，在这两个这样子的一个命令程序啊，所编写的这样子的一些呃，自动的一个信息收集的一个脚本，就其实前面的话给大家有介绍对吧，就介绍我们如何去一一的去做一个，就利用对应的这样的一个命令。

去进行一个信息收集，对那么我们知道对应的一些命令，那么我们就可以去把它写成脚本是吧，然后的话自动化的批量的去进行一个，我们想要的一个信息的一个收集，呃这边第一个的话就是这个w m i c。

这个命令行的一个工具，这个工具是啊，windows下面那个管理工具，它是一个命令行，下面去进行一个操作的一个工具，然后它提供了从命令行接口，还有啊p命令，p命令脚本执行系统管理的一个支持。

然后在我们去进行相应的一个信息收集的话啊，经常会去使用到这样子的一个工具，然后我在这边的话，关于这个呃，前面应该有介绍吧，有介绍这个命令吧。

关于这两个命令的话，大家看一下那个预习内容，比如预习内容这边的话其实我都已经贴了，然后关于这样子的打开mc这两个命令的话，前面应该是在有讲当，当然的话就是只是啊针对，就是说我们要去进行某一个信息的。

一个收集的时候对吧，我们可以去使用这样的一个呃工具，然后的话对应的一个命令对吧，然后关于就是完整的这样子的一个工具的，一个使用的话，是没有给大家介绍的，关于这这这些的话呃，我这边也不会去多讲了。

就这些东西的话就是一些命令的一个使用，然后大家想要去了解的话，自己去了解一下，然后基本的一个使用的话，其实我们呃就我们可以直接通过。

大家都是windows系统嘛对吧，你可以直接通过当年m i c，然后的话去查看他的一个帮助信息嘛对吧，然后再向在windows下面你去执行的话呃，就是你每一个选项是吧，每一个开关它都是中文的。

有解释嘛对吧，都能够去大概的知道它的相关的一些用法，然后像比如说我这边的话，举一个例子，有点看，就比如说这个就是用户账户的一个管理对吧，用户账户的话应该也是我们。

应该也是我们经常会去用到的这样的一个东西，啊，对吧好，我们输入w m i c，然后的话接我们的一个user count，也就是在这边的这个有用户账户的一个管理啊，我们可以通过这个工具来去查看啊。

当前系统下面的所有的一个用户账户，以及呃，我们可以它还有就是说它的这样子的一个开关，后面的话它还有相应的一些选项啊，这些选项的话，就是像比如说我们可以去做一些设置，以及我们可以去得到它。

就是嗯我们想要的一个信息，就一般的话我们要去做一个信息收集的话，会去使用到像list就是列出呃，就是列出它的一个详细的一个信息嘛，然后list下面的话，它还有就是相应的一些开关选项，像比如说。

嗯full的话就是显示所有的那个东西吗，还有的话就常用的话，就这个brief，然后的话beef的话，就是它显示的就是一些简洁的一个信息嘛，就是它只显示了像你的一个账号的一个类型，以及你的就是域名啊。

sd啊，还有你的一个全名以及名字对吧，就是显示了这样的一些信息，然后这些信息的话我们就不像在这边的话呃，看的太太太多了对吧，就这边的话就有针对性一些。

然后的话简洁一点，然后他还有其他的这样子的一些，就是你可以去啊自己去进行一个尝试吧。

其实使用的话大家自己去尝试之后的话，应该是没有问题的，然而这边的话，文章这边的话有就是有就是有很全的，很详细的一个信息，以及还有这里的就是微软的，它的一个官方的一个文档，对面没有中文的。

大家可以翻译一下啊，然后只要你能看得懂就可以了嘛，对吧啊，其实实际的话其实也不用看这些东西啊，你就是你要用的话，你直接去就是去看他的一个帮助信息嘛对吧，就是斜杠问号来查看它的一个选项的。

一个详细的一个帮助信息，好，下面的话就是呃介绍一个利用这个w mc这一个，命令行的一个信息提取的一个脚本，就是这个答案，你mm s info。b t这样子这个批处理的一个脚本，那个脚本的话其实。

呃这个。

就是这样子的一个脚本，这个脚本的话，其实我们看它的一个内容，其实就是他啊，其实在这边他也有经列出来了，呃，这个应该这个我忘了是脚本里面有的，还是我自己加的，应该是脚本里面有的吧。

然后这边的话是它的一个下载的一个例子，然后大家也可以去那个github上面应该是也有的，然而其实他这边的话他也列出来了，他这个脚本它所收集的一些信息啊，像比如说进程服务，用户账号。

对用户组网络接口啊啊还有操作系统，还有你系统里面安装的软件列表，以及启动运行的一个程序，然后其实它的一个命令的话，他都是使用的这样子的一个w m i c的，这样子的一个命令行对吧。

然后的话接对应的这样子的一些选项，像比如说我们以这个就是呃，刚刚说的这个用户账号为例对吧，可以看到它是啊w m m i c u在看着，然后list for的话就是列出所有的嘛是吧，然后他在这边的话。

它是有做了这样的一个格式化，就是他把输出了一个内容的话，把它格式就是呃输出到了这样子的一个，htm的一个文件当中，就他通过format做了这样的一个格式化。

啊呃我看一下就是执行这个脚本之后。

它的一个实际的一个输出啊，就是我们可以在这个html文件当中去查看，然后的话东西比较多啊。

像这个的话呃，它它是对应的呀，就是跟着脚本这边的话是对应的是吧，但你的一个时区信息对应的话就是这边嘛。

就是这边对吧，然后的话就是操作系统，操作系统的话在这边就是啊，我是这边的这个机器的话是win 10家庭中文版的，然后还有就是对应的这样子的一些。

我们都可以在这个文件当中去查找是吧。

就是啊一个信息收集的一个提取的一个脚本，也是应该就是比较简单，主要的就是这一个命令的一个使用了，然后呃然后的话就是补丁信息，补丁包的一个玻璃呃，在这一个的话，这个应该前面在讲。

那个信息收集应该也是有讲对吧。

就是通过这个w mc，比如我在这边，我在这边执行这个命令，执行这个命令的话，他就会去列举出当前系统下面已经打过的，这样子的一些补丁包的一个名字，就这一些就是其实就是一个host fixed id。

在这里的话就是我们经常看到的这样子的，一些补丁号，然后这边的话他的这个命令的话，它有列出来，就是你的这个就是这个补丁对吧，他这边有这样子的一个，就是微软官方的这样子的一个信息。

就是对这个补丁的一个公告的一些信息对吧，然后还有的话就是像他的一个描述，就是像这种安全更新对吧，就表示的话，这个补丁的话是针对就是安全问题的这样子的，一个更新，以及它这边呃安装更新的这样子的一个时间啊。

4月15号。

然后的话就是呃过滤的话，其实就是用我们前面讲的这个在windows下面的，这个方式转的这个命令嘛，来去匹配嘛，然后杠11后面的话就是匹配，就是借我们要匹配的这样子的一个字符，像比如说你想要去找。

就是说你的这个系统下面，你指定的这样子的一个kb的，这个就是补丁号是吧，你要去查找当前这个系统下面，它是否有这样子的一个补丁，就是说如果说你找到有这个补丁，然后的话这个补丁它是针对某一个啊漏洞的。

这样子的一个啊防御对吧，就是它的这一个补丁的一个作用的话，就是去防止某一个漏洞，那么你找到它有这个补丁号的话，那么对应的这样子的一个漏洞的话，那么我们就无法去进行一个利用对吧，如果说没有找到的话。

那么我们就可以去进行一个尝试了，二还有的话就是获取杀软名，还有杀软的一个安装路径，这里的话呃，前面应该也讲了，这边的话就看一下效果。

好呃，这边的话可以看到，念出来就是有360火龙对吧，还有windows defend。

就是呃这个系统现在有装的以及。

以及呃上扰民，还有安装路径，这边的话我就不一的去呃给大家看了，大家自己课后的话去尝试好吧，然后还有的话就是其他的，我这边的话也列举了几个啊，像主账户啊，用户账户就是自启动的一个命令对吧。

然后的话还有操作系统，然后的话进程还有应用程序，这些话这些信息的话，其实都是我们通常会去进行一个收集的，这样子的一个信息，然而第二个的话就是这个sc的一个呃，命令行程序，这个sc啊。

这个sc的话它是用来与服务控制管理器，还有服务区进行一个通信的一个命令行程序，主要的话我们会用它来去进行一个，就是啊对我们的一个服务区进行一个控制，他会去检索和设置有关服务的一个控制信息。

然后的话我们像比如说，我们可以去检索服务的一个状态，对看他是不是处于一个运行的，或者说它是一个停止的一个状态，以及我们可以去进行一个就是启动，然后停止某一个服务，然后呃在这边看。

就是类似于我们控制面板管理工具服务，service的这样子的，就这一个，就是在在这边啊，这一个服务，就类似于我们这边就这边的这样子的一个呃，这个怎么说呢，就是这个sc的话。

它是可以通过命令行的方式去进行一个服务的，一个检索以及操作对吧，然后我们当前的这样子的一个界面的话，就是我们可以在这个界面去进行，对这样子的一些服务，对系统里面所运行的这样子的一些服务。

去做一个操作是吧，像比如说我随便选一个对吧，我可以右键，然后的话可以去进行一个启动以及停止暂停，对吧等等这样子的一个操作，啊然后我们在这边的这样子的一些操作的话。

其实我们都可以通过这个sc这个命令行程序，来进行来去实现，然后我这边的话以这个为例子。

获取系统注册服务的一个信息。

然后这一个面的话其实就是我们执行之后的话，它会获取到当前系统下面啊。

就是其实就是获取到了这边所有的这样的一些，服务的一个信息啊，就这边的，然后的话它是通过这样子的一个方法，这样子的一个形式去展示出来了，但比如说这边的一个seven name，就这个对吧。

以及这个seven name，它的就是啊，这个服务它的一个状态是他的个状态是running。

也就是正在运行的，这样子的一个状态。

好呃，第四个的话就是一些，自动信息收集的一个脚本啊，就跟前面的那个通过w m i c去进行一个，信息收集的一个呃脚本的话都是类似的，然后这边的话都是就是别人已经写好的。

在这里看一下。

你真的没有吗，然后大家可以去访问访问这边的，我这边给的这样子的地址，然后的话可以去查看啊，其实他的这样子的脚本，他信息的他收集了一些信息啊，其实我们在这边也能够去知道是吧，他像这种脚本的话。

其实你知道我们要去收集了一些信号，你自己也可以去写了是吧，像比如说这边的话，就是啊检测你安装了这些这样子的一个软件啊，然后在这边的话它是通过导出这边注册表，然后再导出的是这一个注册表下面的一个啊值。

然后导出到这样的一个文件当中是吧，然后的话在这一个文件当中去查找，我们想要的这样子的一些信息，然后的话把它做一个输出，然后我这边的话我就不一的那个，大家可以自己去尝试，然后去查看效果。

然后还有的话就是这个呃提权的，就是关于提权的这样子的一个信息。

收集的一个脚本，就是一个wpa s等于bp这个提出你的一个脚本。

就是这个这个脚本的话，它的一个收集的一个信息的话就比较多，有有很有很多这样的一个信息，然后这些信息的话就是我们可以用于，就说在我们去进行一个提前的时候，我们可会去用到的。

或者说需要去了解的这样子的一些信息。

这边的话可以执行一下，执行之后的话，他他就会去啊执行那个脚本，然后的话他会在这边去输出，和我这边的话要把它输出到一个文件当中，还有人说，我脸上。

然后我们可以在这边去查看它的一个信息，呃首先的话在这边乱码了。

首先在这里的话其实他就输出了，就是现在这边就是c什么info的一个信息嘛对吧，然后下面这边的话就是呃，当前系统的一些补丁嘛对吧，然后还有下面的这一些的话就是啊时间是吧，以及还有其他的这样子的一些信息啊。

有乱码。

好像在这边的话，就是我们刚刚的那个命令所实现的一个效果，对吧，就是去查看啊。

当年系统下面所存在的这样子的一些av对吧，还有等等的，其他那些东西的话，我就不一的淡淡的看了，然后大家自己去尝试吧，然后他这边的话，它是检索的一个线性的话比较多。

啊以及还有的话就是这个powerless。

它也同样的是一个类似的一个脚本啊，就是都都是差不多的，然后的话就是收集的这样的一些信息的话呃，都是差不多的，也就是我们所需要的这样的一些信息嘛是吧。

这边的话这个，这边的话这个我有执行了。

就是啊不是这个。

可以了，还有同样的是一个类似的这样的一个脚本啊，然后的话他会去检索参加的一个信息。

然后我们可以根据这些信息来去找到，我们所需要的这样的一些东西，是这样的话我就不考了，就是啊这边的话是我之前跑的呀。

呃呃下面第五个的话就是提取工具脚本，在这句话其实就是给大家介绍一下，就是常用一些常用的一些提前的一些工具，以及脚本，首先啊在这边的话就是给大家介绍了，介绍这一个啊，lotupotato，这个就是烂土豆。

就是他的一个呃别名的话就是烂土豆，然后呃这个工具的话用于提前的话，是用的比较多的一个提前的一个工具，然后它的它的一个作用的话，它可以将我们的一个服务账号，去做一个本地提取。

然后提取到我们的一个system的一个账号，然后通常我们的一个用法的话，就是我们通过这边得到的得到的shell对吧，我们通过前面像比如说m m sf所得到的一个shell。

我们得到这个shell之后的话，我们可以通过上传这样子的一个工具，上传到目标机上面去，然后的话去执行是吧，然后执行的话我们执行之后的话，我们可以尝试，就如果说它存在相对应的这样的一些，提权漏洞是吧。

那么我们就有可能把它提升到一个c什么的，一个用户，然后在这边看，就是你提前之后的话，它其实会有这样子的一个啊东西啊，就是有这样的一个token，就我们在去咨询之后的话。

他其实会就是说在当前的这个系统下面，它会有生成这样子的一个token，这个token的话，就是我们的一个system system权限的这样子的一个token，关于这一个token的话，大家看预习内容。

前额后面应该会讲，然后这边的话我也放到这边，就是这个token的一个窃取利用嗯，大家可以自己去尝试，呃在这里的话我是看的这个就是3g student，这位大佬的这个文章，然后的话我自己尝试。

然后写的笔记就是关于这个token窃取利用，然后在这边的话有就是列出了就是windows平台啊，msf啊，下面的它也有这样的工具，以及通过抛弃脚本的一个方式，来趋近相应的一个操作。

好我在这边的话呃大概介绍一下吧，后面后面呃后面可能啊，其实这个token窃取利用的话，其实大家看这篇文章，然后自己去操作一下，应该就理解了，然后大概的介绍一下。

就是windows下面的话有两种类型的一个token，就是我刚刚所说的这样的一个token，就token的话，他有这样的两种授权令牌，有模拟令牌，它的一个区别的话，就是呃这一个授权令牌的话。

就是用于交互的一个绘画登录像，比如说我们本地我们对吧，我这边直接远程登录到这这样子的，一个机器上面，那么你当你用你所使用的这样子的一个用户，你通过下面的桌面你去登录之后的话。

你登录的话使用的一个用户的啊，就是账号密码，你登录目标系统之后的话，他会去生成这样子的一个token，然后它是有这样的一个授权令牌，来去标识你的这样子的一个就是身份嘛对吧。

然后的话呃还有的话就是一个模拟令牌，impressionation token，这个的话就是用于非交互式的一个登录线，比如说我们通过net yours，是通过net use子去啊。

映射远程的一个目标机器上面的共享文件夹，对吧，这样子的一个操作的话，我们就，可以使用这样子的一个模拟的一个token，然，然后还有的话就是嗯这两种token的话，它会在只有在系就重启系统之后会清除。

也就是说如果你的你的这个目标机器上面，你有登录某一个系统好吧，你用某一个用用户，像比如说你用我的命这样子一个用户，你登录之后对吧，或者说你通过net柚子去登录之后的话，他会有这样子的一个token。

这是个令牌，然后的话我们可以去通过，就如果说我们拿下了这个机器对吧，拿下了这个机器的一个小，那么我们可以通过这样子的一个工具，就这一个这个工具来去窃取他的，这样子的一个token。

然后的话我们窃取到他这个token之后的话，我们就能够去以他的一个身份，也就是能够去得到他的这样子的这一个token，所对应的一个用户的一个权限，来去进行相应的一个操作，嗯更多的话大家看我这篇的笔记本。

然后看我ppt这边，而这边的话就是啊，以msf下面的这样子的一个操作为例，就msf下面的话它有集成这样子的一个模块，就是这个encore encore net这样子的一个模块好。

我们可以通过就是low的这个去加载它，然后呃它的一个使用的话就是呃list token，杠u的话，它就是可以列出当前的这样子的一个token，比如列出当前可以去使用的。

像呃这个授权令牌以及模拟令牌的这样子，一个token对吧，然后的话呃我们在这边用这一个，让土豆去提前的话，就是说他可以去利用它，可以就是说他去利用成功之后对吧，我们把这个工具上传到我们的这个机器上面去。

执行，执行之后的话，他会他就会去生成对应的这样子的一个token，就是你得到了它的一个，你通过这一个呃提前的一个工具对吧，你把它得到了一个system的一个权限，那么它会生成这样子的一个token。

我们就可以通过这个呃，这个模块下面的这个这个命令，来去窃取它的一个token，然后窃取到他的这个token之后的话，我们就能够去得到它的这样子的一个权限，然而这个命令的一个意思的话。

就是把这个把这边的这个token，这样子的一个就是这个token把它给添加到嗯，我们的一个模拟面板下面去，然后呃就是像这样子啊，我们执行之后，执行之后的话，它会创建这样的一个进程。

然后我们list token之后的话，我们就能够在这一个模拟那块下面，去找到对应的zz的一个啊c什么的一个token，然后的话我们就可以去进行一个模拟令牌，然后的话窃取他的一个token。

来去得到它的一个c什么的一个权限，这个它就是token的一个窃取啊，已经利用了，然后这边的话就是其实也是这一个工具，它的一个就是这个提前工具的一个用法，然后我在这边的话，就是说这个就是potato。

就是它是有一个家族的，就是土豆家族，然后他有其他的这样子的一些啊工具啊，就一些提前的一个脚本，然后这边的话大家自己一的去看吧，然后的话可以就是就是这些脚本的话，你可以就是做成自己的一个。

就是大家其实在去提前的时候，就是一般的话你收集到对应的一个信息对吧。

然后的话你找到对应的能够去进行利用的工具。

P69：第38天：权限提升-Windows服务漏洞提权、Windows注册表 - 网络安全就业推荐 - BV1Zu411s79i

最基本的一个思路就这样，还有就是在web share下面执行命令的，这样子的一个呃工具，这边的话就是介绍这两个就是这个i know，i know six，他们的这样子的一个就是基于这个思路。

新手的一个修改吧，就用于在web share下面去执行命令，就是说我们可以就说如果我们得到了web share，我们可以通过这样子的一个工具，我们直接在web share下面去执行之后的话。

能够去得到它的一个啊c什么的一个权限，那比如说呃这边的话是它的一个用法嘛，就是直接执行对吧，我们可以直接去以system的一个权限去执行啊，那么我们能够就是说能够，通过这样的一个工具去提取的话。

那么他能够去执行命令，然后的话我们就可以去反弹一个这样子的一个，system的权限的一个share嘛对吧，比如说我们上传一个，比如说msf生成的一个可执行程序对吧，然后的话通过他的这一个提前工具去执行。

然后执行之后的话，它是以一个system的权限执行的嘛，然后的话我们就能够去得到一个system的一个share嘛，还有呃其他的话我就啊不介绍了，这个的话大家自己就是其实就是一些工具嗯。

就收集这些工具嘛，就是以备不时之需嘛，然后他就是介绍介绍这些工具，我们在什么样子的一个情况下面可以去使用，嗯现在50了呀，我这边的话呃大家应该没有什么问题啊，有我这边的话呃，断一下，啊。

呃咱们就不休息了吧好吧，因为后面的内容的话还是有挺多的呀，呃可能的话就是因为时间关系的话，可能，呃其实我ppt的话已经写的很详细了呀，好吧，然后具体的一个操作的话，可能我在这节课的话。

就不会详细的一个去操作了，啊呃第三个它就是windows的一个内核漏洞，的一个齐全，问的是内核漏洞，提权的话，我们通常的话就是首先这样子的这些命令的话，其实呃前面也介绍了对吧。

那首先的话我们会去检查windows的一个版本，它是否有任何已知的这样的一个漏洞，那么我们如何去找，就是他是否有了，首先第一个我们通常的话去找它的一个，就是它的一个系统对吧，它的一个系统的一个版本。

然后的话这一些系统的一个版本，它对应的是否呃就是有现成的，或者说有爆出过对应的这样的一个，能够去提前的一个漏洞是吧，然后的话就是通过去查找对应的一个补丁号，就是确定这样子的一个系统版本，下面它呃。

是否有打对应的这样子的一些补丁对吧，如果他没有打某一个提前漏洞的一个补丁，那么我们正好可以去利用他去进行一个提醒，对吧，然后的话还有就是通过抛shi的一个方式，来去列出所有的一个补丁啊，呃这边的话。

这边的话就是通过这样子的一个方法，就是通过这个get w mi object，这一个的话就呃前面应该也有介绍吧，就是这个get remi object的话，类似于就是这个w m i c。

那他同样的能够去啊，对我们的这样子的一些去进行一个，这样子的一个操作，就是跟这一个w i m i c的功能是一样的，然后这边的话它是通过就是说呃，他同样的是去查找这样的一个host fire。

host fixed fixed idea啊，就查找我们的一个补丁号嘛，然后他这边的话是查找了一个方法的话，他是从啊windows下面的这一个就是这个api当中，尤其是他在这边的话。

有像我们的一个sql注啊，不sql语句一样的对吧，就select的一个方式，从这样子的一个啊，从这边去进行了一个查找，然后这边的一个查找的话，它其实就是查找对应的啊。

从这个api当中去查找对应的一个信息，然后的话来去找到我们这边的一个补丁号啊，然后执行一下吧。

没看到啊，结果它就效果它就像这样子。

呃而他列出安安全的一个更新补丁，这边的话跟上面是一样的，呃，呃下第二个的话，就是介绍两个这样子的一个模块，这两个模块那就是在msf下面的两个模块呃，呃第一个号就是innpatches。

其实就是列出当前就是列出windows系统下面的，这样子的一些补丁，就说他有打的一些补丁，我们可以通过这样子的一个模块，来进行一个枚举，然后呃第二个的话就是一个啊。

windows windows系统下面的一个，就是本地提权的这样子的一个模块，这个模块的话他要去探测，他要去检测你的一个目标系统下面，它是否有存在，就是说啊已知的这样子的一些提前的一个漏洞。

然后的话他会给出建议，就是给出对应的一个建议，他的一个建议的话，其实就是这个，就是这边的这个模块就我们在这边执行之后，是执行之后的话，他会去啊，以当前我们已经得到这样子的一个。

msf的一个shell对吧，然后的话去探测，然后它探测到如果说存在有对应的一个提升，就可以去利用的一个漏洞的话，它会有给出对应的一个模块，就我们可以直接用msf里面。

它给出了这样子的一些模块来去进行尝试，去进行一个提取，嗯还有就是这个咱们连a t sone wet son，这个的话也是就是一个比较比较好用的，一个就提权信息收集的一个工具，就是我们直接看效果。

这个，这个的话就是呃执行之后对吧，执行之后的话他也会去探测，就是给出这样的一个建议，就是建议就是说他可能觉得就是他会去，因为他这个脚本工具里面的话，他已经有集成了，对应的就是呃探测对应漏洞的这样子的。

一个呃一些脚本啊，然后的话他会去探测你当前系统，它会通过它收集的一些信息对吧，然后的话去进行一个判断，其实就是一个供你参考的这样子的一个呃，一些可可能存在的这样子的一些漏洞。

像比如说这边cv 120191064对吧，它判断是可能存在的，当然的话这边啊，这边他给出了这样子的一些东西的话，就是作为一个参考吧，就是你可以去尝试，当然的话你尝试之后的话就是不一定能成。

也就是说他这边的话就是仅供参考吧，然后还有对应的话就是有对应的呃，相对应的漏洞的一些脚本的一个信息，以及他利用的一个啊，就关于这个漏洞的，在油管上面的一个视频啊对吧，以及还有对应的一个脚本。

然而他这边的话它就是列出来的这样子的一些，cv的一个漏洞都是比较新的，我这边的话这个工具没有更新啊，应该就是这个工具的话应该是一直在更新的，这个的话是就上一期讲课的时候。

那个的，然后大家可以去那个github上面自己去找，找到最新版本的，然后的话去进行一个尝试，然而第二下面这个的话就是通posher，脚本的一个方法方式啊，就是这个啊。

sherlock这样子的一个抛弃的一个脚本，它同样的就是已经他会去探测，已经就是已经写好的这样子的一些可能存在的，这样子的一些提前的一个漏洞。

我这边的话。

这边我在这边执行了就执行执行了呃，当然我这个号我是直接在本地加载的，然后同样的我们可以去远程加载嘛是吧，然后在这边的话呃，我们导入这个模块，然后的话用这个方的oa variance。

然后的话他就会去枚举去枚举这一个系统当中，它可能存在着这样子的一些漏洞，然后的话他在这边的话，像no valuable，也就是说他没有发现这样子的一个，然后其实在这边的话。

因为我这个号是win 10的一个系统嘛，然后他这边给的这样子的一些啊，提前的一个漏洞，wx的一个提前录的话都是比较老的，所以的话都没有发现是吧。

啊其实这样子的一些这些工具啊，其实都是仅供大家参考，就是啊那大家就是说通过他的一些脚本，它通过对应的一些信息的，就它已经整合了一些信息对吧，然后它通过它整合的这些信息来去判断，你的一个系统当中。

是否可能会存在这样子的一些提取的洞。

那么我们就可以去尝试去进行一个利用了对吧，然后的话就是这个windows下面的一个平台的一个，提权漏洞的一个集合。

关于这个的话大家可以看一下这个链接。

就github上面的这个链接这个网址，然后他这边的话就是收集了，就是windows系统下面的啊，所有的这样子的一些，就是内核的一个提前的一个脚本，就一叉p，那比如说我们以这个m416034 为例对吧。

然后他在这边的话就给出了这样的一个脚本，它是一个c c加加的一个脚本嘛对吧，然后我们可以去定义它，编译的话可以去编译成一个可执行文件嘛，然后的话执行，还有的话就是有已经编译好的这样子的，对应的啊。

windows下面的一些内核的一个提权漏洞，的一个利用脚本。

以及在这边的话就是。

介绍一个网站吧，就是这一个就这一个就是一个windows提升的一个，辅助工具，就是我们在这边的话，他的这个辅助工具的一个原理的话，其实就是他呃，我们把我们的一个system info的一个信息。

因为我们的一个sim sim info的一个信息里面的话，就包含它的一个补丁号码是吧，好的话，我们粘贴进来，粘贴进来之后，我们就可以去查询，像比如说啊未修补的一个漏洞，已修补的一个漏洞是吧。

好我们查询查询之后的话，像比如说我在这边。

啊这边的话我就不尝试了，就是他这边的话，你把视频info的一个那个补丁号啊。

把它给扣到这边来呃，他要他要是这样子的一个格式啊。

就是要是这样子的一个格式，第一个第二个第三个对吧，它是这样子的一个格式，然后的话查询查询之后的话，他会有返回一个结果，看下他用他的这个，反正这一个结果他还是像这样子。

然后他就是他为你找到这样子的一些e x p嘛，这些e x p，它就是就是你的提供了这样子的一些补丁号，当中的话，就是没有包括的这样子的一些可以去利用的，这样子的一些e x p的一个漏洞是吧。

好像比如说我们以这个为例是好，这边的话有一个补丁编号，我们右键就是啊我们跳转到这个链接之后的话，它其实就是到了我们这边，刚刚的这个windows的一个啊内核漏洞的这样子的，一个github的一个页面。

然后在这边的话就有对应的，就是说对应的这一个呃，提前漏洞的这样子的一个应用的一个脚本对吧，然后以及它的一个用法，就这边的话像在这边就他的这个题目的话，我们执行执行他的一个脚本之后的话。

直接得到了一个sem的一个权限对吧，呃还有其他的话，这边的话我都放在预习内容当中，我就不记得带大家看了，好吧好呃，在这边的话就是这个msf的这个local exploiters。

suggest的这个模块，它的一个效果的话就是像这样子，然而我们执行之后的话，他会有给出这样的一个建议，就是我们可以尝试用这样子的一些模块，进行一个提前，然后的话，以及我们使用其中的一个集权模块对吧。

能够成功的去得到一个system的一个权限，这边呃当前这边的话是一个普通用户对吧，我们得到一个shell的话是一个普通用户，然后的话我们通过这个脚本，它执行执行之后的话。

他得到了他会重新得到这样的一个筛选a对吧，能够成功的去得到一个system的一个权限，那个呃当前这边的话是一个普通用户对吧，我们得到一个shell的话是一个普通用户，然后的话我们通过这个脚本。

它执行执行之后的话，他得到了，他会重新得到这样的一个筛选，这边呢有一个筛选四生成了，对吧好，我们进入这个筛选四之后的话，我们可以直接通过get system来去得到它的，一个system的权限。

就其实我们当前这边的话，其实是一个普通用户的一个选项，它不是一个admin的权限，然后我们通过这样的get system的话，如果说你是一个普通用户权限的话，去执行这个get system的话。

你会报错，就是你要去得到它的一个系统的权限的话，你需要有一个admin的一个权限，这样的话就是啊也有可能就是存在，存在这样子一个情况，就是你直接执行的话，你普通用户也能得到些什么的一个权限。

就是上一期的话有呃，有同学是这样的一个情况，当然的话如果你能够直接的去得到的话，那更好了，然后其实实际的话实际的一个情况的话。

可能会是像这样子，就是像这样子是吧，我当前的话是一个这样子一个普通的，然后我给你some get set，什么话，还会去尝试用这样子的一些方法，来去进行一个提前，然后的话他有点端倪了。

然后我们是普通用户的话，我们无法直接的去get system。

去得到它一个system的权限，然后在这边可以的话，是因为我们执行这个脚本中的话，它其实有它其实已经做了相应的一个，权限的一个提升，然后的话我们直接通过这个get get session。

就能够去得到它的一个c system的权限，呃，前面的一个内容的话，大家应该没有什么疑问吧，大家有没有什么问题呢，应该都能听得懂吧，啊这前面的话这些内容的话，就是啊介绍了一些工具对吧，介绍了一些工具。

以及我们常用的一些信息设计的一个命令，以及就是结合这些信息，我们呃可以去使用对应的这样子的一些工具，来进行一个提前，然而下面的话，下面的话就是呃，我们的最后一部分内容。

就是windows系统的一个服务漏洞的一个集权，首先第一个它就是这个可信任的一个服务路径，这个可信任服务路径的话，它的，它的一个呃特点，或者说我们能够去进行一个利用的一个点。

就在于它是有这样子的一个特性，就它存在缺陷的这种服务程序，就是利用属于可执行文件的一个文件，文件夹权限，然后的话windows服务，通常它会以一个system的权限去运行，所以的话在系统。

他在他在去解析这样子的一个服务，的一个二进制文件，它对应的一个文件路径空格的时候，它也会与系统的一个权限去进行一个解析，然后的话它的这个漏洞的话，就是用的这个特性来去进行，进行了一个全线提升呃。

大家可能看这一段文字的话，可能不是很很很好理解，我这边的话，以这样子一个例子给大家做一个解释，就是呃在这边的话，在这里的话就是呃它是这样子的一个服务对吧，然后这边呢这个嗯。

这边这个服务是他所去执行的一个程序的话，就是这个这个程序，然后这一个程序它的对应的一个路径的话，就是这样子的一个路径是吧，然后他起这个服务的话，它是就一般的我们的一个系统的一个服务。

它所执行执行的一个权限的话，它都是一个系统的一个权限去进行啊，以一个system的一个权限去进行一个运行的，然后在这边的话他再去启动这个服务的时候，它同样的也是一个系统的一个全新去运行对吧。

然后在这边它有一个问题的话，就是他再去解析，他再去找到找到这样子的一个服务，它所对应的一个可执行文件的时候，它会经历这样的一个过程，就是它的这一个可执行程序文件的一个啊。

所在的一个路径是这样子的一个路径是吧，然后他会对这边的这个路径的每一个空格，他会去尝试去寻找，呃其实就其实就在这边，我这边的这一句话就是他会去尝试寻找，然后的话执行名字与空格前的一个名字相匹。

配的一个程序，也就是说他再去查找这个服务，它对应的一个可执行程序的这个，路径的时候对吧，他首先会找这个就是找到c盘下面的这个program，对这边的一个program file的话。

它中间是有空格的对吧，然后他去查找的时候，他会找到这个c program这个程序啊，找到这个路径下面，看它是否有这样子的一个program点，ex一的这样的一个可执行程序对吧，如果说有的话。

那么它就会以一个system的权限去执行它，然后如果没有的话，那么它就会继续往下找，然后找到像比如说在这边windows project对吧，这边同样有空格，他会在这一个目录下面，还要找。

是否有这样一个windows 0 x16 个可执行程序，如果有，他也会以c什么一个权限执行，没有的话，他继续找是吧，直到找到最最终的这样的一个程序，然而在这边的话。

那么我们针对他的这样子的一个就是这个缺陷，我们如何去进行一个利用呢，其实我在这边的话，其实呃我们来一起看一下，就是通过前面的一个讲解，我们能够大概的理解对吧，就是它的这样子的一个。

就是它的一个解析的一个机制，然后那么我们去进行一个利用的话，因为他会去一就一个一个目录的去查找，就是说它空格前面他是否有对应的，这样子的一个可执行程序的，然后的话去以c的权限去进行一个执行。

那么我们就是说首先的话我们去请去检查，我们的一个呃，不是就是说我们首先的话就要想对吧，我们不会去进一个利用，那么就比如说我想要去得到，就是说我想要去得到它的一个cm的权限是吧。

我们要去利用这样的一个权限去得到它的话，那么我们呃他会去进行这样的一个检索对吧，他会去有这样子的一个步骤去执行，解析这样子的一个ex一的一个程序对吧，那么我们是否可以去尝试去生成这样子的一个。

像比如说在他的一个路径是这个对吧，我们知道他的一个路径是这样子，那么我们是不是可以去生成一个，像比如说program 0 x1 ，把它放到我们的一个c盘的一个根部下面是吧，然后的话在这个服务它去他去啊。

加载的时候对吧，他去启动启动的时候，他就会去找，然后的话他找到这边的话，他就会去找到我们这边所生成的，这样子的一个呃可执行程序，然后这个可执行程序的话，又就是我们的一个反弹shell的一个码对吧。

那么他去执行它解释执行解释执行的话，它是一个系统的一个权限距执行的，那么我们他执行这边的一个我们的一个码的话，我们就能够去得到它的一个设计什么的，一个权限对吧，然后同理的话就是呃其他的一个目录。

我们同样的也要去，我们也可以去尝试对吧，然后我们要去呃达到这样子一个目的的话，就有这样子的一个条件对吧，首先第一个的话就是我们要去向这个目录，去上传这样子的一个我们生存的一个码对吧。

那么这一个目录像c盘的这种目录下面的话，我们如果说是一个普通用的话，我们无法去向这个目录去写，去写这样子的一个文件的对吧，以及啊c盘的这种其他的这样子的文件夹，下面的话我们也有可我们也可能就是无法去写。

去上传我们这样子的一个文件，因为我们没有权限嘛是吧，那么在这边的话就是有一个问题，就是我们需要去找到一个这样子的，就是就是以这样子的一个形式，它中间是有这种空格的这种服务对吧，以及它的这样子的一个。

他的这一个去检索的这样子的一个路径，这一个目录，下面的话是有一个我们能够去写文件的，这样子的一个目录，就是说我们有权限去向这一个目录去写一个，这样子的一个dx一个可执行程序文件对吧，所以的话在这边的话。

第一步我们需要去做的话，就是检查目标主机它是否可能存在漏洞啊，在这边的话就是去通过这样子的一个呃脚本，就w m i c来呃去啊，service的话就是去查找啊，与服务相关的这样的一些信息嘛。

然后他的名字啊，他展示的名字对吧，呃路径对吧，等等的这样子的一些信息，然后我们对它做一个输出，然后其实在这边的话他查找的一个方法，那就是呃他查找这种服务，他的一个路径当中，他是否有这种空格对吧。

因为我们前面它的一个特性的话，它就是去他会去解析空格前面的这样子的一个，呃文件嘛对吧，然后第二个的话就是如果说我们找到了，像比如说在这边我找到了这样子的一个服务，对吧，它是符合我们这边第一个要求。

然后下面的话我们还需要去去找到，就是说它的这个服务径，它是否有一个我们是否有一个写入的权限，就通过这个i c a c l s这个命令，来去进行一个检索，然后结果的话就是像这样子。

我们检索到检索这个目录啊，当然这个目的话是呃，就是其实不是一个真实存在，系统上面的一个目录，我这边还是为了就是做这样子的一个，就是给大家讲课嘛对吧，就是啊做了这样子的一个目录，以及做了这样的一个服务。

好，我们在这边的话，我们去检索这一个目录，检索到它的一个权，它的这样子的一个权限，关于这边的话，我们主要就是看这边f的话就表示完全控制，以及呃在这边前面的话，首先的话就是你的一个用户，然后后面的话冒号。

后面的话接的就是权限各各类的一个权限是吧，我们主要关注的话，就是这个f的话就是完全控制，也就是说这边的这个前面的这个用户，他对这个不是有一个完全控制的一个权限，也就是它能有对这个目录下面去进行一个解读。

等等的这样子的一些操作对吧，然后在这边的话就是有一个特殊的一个权限，就是这个everyone，然后我们可以看到这边every every one的话，它同样的有这样子的一个完全控制的一个权限。

也就是什么意思呢，也就是啊，任何用户，他都有对这一个目录有这样子的一个啊，可以去写文件，可以去读取，可以去进行啊这样子的一些操作的一个权限，那么我们确定了这样子的，我们通过这样子的方法。

确定了这样子的啊一个服务，以及他存在这样子的一个可以去写的，这样子的一个文件，那么我们下面的话就可以去尝试去生成，这样子的一个po的对啊，我们在这边的话是找到了是这个windows fragile。

这个目录对吧，那么我们要去生成的这样子的一个可能性，程序的一个文件名的话，就是我们可以看一下这边是是这个目录可以写，那么我们要去生成的一个文件，这个可执行程序文件的话，就是这个common dx 1。

因为他在去解析到这个目录的时候，他会去解析这边空格前面的这个common，这个可执行程序对吧，如果他有紧锁的话，他就会去以一个cm的一个权限执行嘛对吧，那我们向这个可写目录下面去上传一个生成的。

这个啊反弹希尔的一个码，我们上传上去，然后这个服务它重启的时候，他就会去加载它，这边的话就是呃生成了一个步骤，这部分的话呃应该大家都很熟悉了，我就我就不多说了，好的话。

上传到我们的一个目标的一个啊目录下面对吧，上传上去，上传上去之后的话，我们需要去重启服务，因为呃我们在这边，我们把我们的呃这种这个可执行程序，我们上传到目录下面去了对吧，但是他上传上去这么大。

他不会去自己主动的去执行对吧，他是需要去等这个服务它再重启，也就是说他是会他是在这个服务，它重新启动的时候啊，系统它才会去啊，以我们前面这边的一个方法来去进行一个解析，执行来去进行这样子的一个方法啊。

这样子的一个步骤去进行一个呃紧锁是吧。

所以的话在这边我们还需要，就是说他的这个服务的话，我们需要去对它做一个重启，首先的话就是呃，我们可以通过sc的这个命令行程序对吧，因为我们知道这个程序的话，我们可以去进行一个啊服务的一个控制，紧锁对吧。

然后qc的话就是去进行一个查找，去查找我们这边指定的这个服务，它的一个相关的信息，就是像在这边，像比如呃它的一个启动的一个状态，启动的一个类型就是art type，就我们那个服务启动类型的话。

就是有启动禁止啊，不是有那个就是。

那就启动类型的话有手动自动嘛，然后禁用对吧，然而在这边的话就是auto start的话，就是表示它是一个自启动的，也就是说它会随着系统启动而启动，这样子的一个服务，然后呃在这边的话。

就是我们呃会有这样子的一个问题啊，就是我们因为我们当前得到这个权限的话，是一个普通用户的权限，对我们没有权限去去启动这样子的一个服务，因为它的一个服务的话。

它其实是一个system的一个圈圈去执行去去启动的，所以的话我们普通用户是没有权限的，也就是我们无法去对这样子的一个服务区，进行一个启停止以及启动，在这样的一个操作，就像这边啊，我这边截图所示啊对吧。

就access is denied，也就是它是不允许你去进行这样子的，一个操作的，所以的话呃我们可能就需要去等待，这样等待下一个服务器去重启，然后他去执行这一个可执行程序，当然的话简单粗暴一点的话。

就是我们直接消动，就把它的一个主机继续去进行一个关机，当然的话这个的话不是呃比较敬业，就是说everyone的话，它就是表示所有的一个用户嘛，就是说你是一个普通用户。

也也也有权限去对这个啊文件去做一个啊写入，去上传我们的这样子的一个程序嘛，不是说呃你是要有everyone，然后的话你还需要有对这一个目录有一个呃，完全控制的一个权限。

当然的话如果说你是一个就是你是一个admin的话，那么你你就有权限去对它做这样子的一，个操作嘛，所以这边的话它是有有条件的呀，注意的话是有条件的，就我前面这边讲的啊，我我首先的话需要有这样子的一个目录。

来看一下吧。

就呃其实我这边已经有执行了啊，就看我这边的话，我这边已经有啊。

重新走运了。

执行之后的话，在这边他有找到这样子的呃，1234个服务对吧，这四个服务的话是满足我们的地点要求，就是它的这样子的一个路径当中对吧，它是有这样子的一个空格是吧，像比如说这边的一个这个。

然后的话还有就这个服务对吧。

这是第一个，然后第二个的话，我们还需要去一的去通过这个命令。

去检索它的一个目录，它就是说我们是否是能够去进行一个上传文件，或者就是有写入文件的这样的一个权限，就是通过这个嗯嗯，哦比如说这一个，这个不行，这个就这一个目录的话，就是说它的一个空格的话，就在这边对吧。

所以的话你是要去c c盘的一个目，那么c盘目的话，我们普通用户的话肯定是没有权限的，我这边就以这个为例，好呃，这个的话其实就是我们要去找到的这个目录，就是它是有它是everyone。

它每个就是任何用户都有一个，f的一个权限是吧，然后还有对应的就是说有权限去对这一个目录，有f控制权限的话，就是像这个trusted installer，这个的话，它是就是系统内置的这样子的一个呃。

比较高的一个选项，呃这个第一个是我们等会有的这个。

啊不是，就是还有像这种beauty in，就是内置的这样子的一个管理员用户对吧，还有其他的这样内置的，这样子的一些用户它是有权限的对吧，然后在这边的话，因为我们没有这样子的一些权限嘛对吧。

所以的话我们一个普通用的话，我们只能是就是说这个目录它是一个everyone，都有一个控制权限的，那么这个目录的话正好符合符合我们的要求。

所以的话我们可以去查，可以就是呃像这一个目录去和上传，我们的生成了一个码。

好我在这边的话还有一个要注意的一个点，就是这一个就我们在这边，我们把我们重启它的一个机器对吧，就假设我们把它一个机器重启了，重启之后的话，他会去加载我们这边的一个码，然后的话以色列成文的一个权限执行。

然后执行之后的话，我们在这边的话就能够去得到这样一个shell嘛，对吧，得到这样子的一个需要，对吧，但是的话呃你会你自己去尝试之后的话，你会发现它有一个问题啊，就是你得到这一个码的话呃。

就是它弹回了这样子的一个连接之后的话，它立马会断掉，就是这边的话你断掉之后的断掉的话，它是因为就是说它这边有这样子的一个机制，就是当服务它在windows系统中启动后，它必须要取调和。

windows系统下面有一个服务控制管理器，它需要与它去做一个通信，但是我们生成了一个码的话，只是一个就是反弹shell嘛，来与我们msf的这边的一个服务器做一个零件。

是所以的话他无法去与它去进行一个通向，因为它不是一个服啊，所以的话他会去，就是说他这个关系他会认为是出现了错误，然后把这个进程他会终止掉，所以在这边的话我们需要做这样的一个操作。

就是在他得到需要之后对吧，他执行之后，我们这边接收到了他的一个绘画，接收到了他一个连接，连接建立之后的话，我们立马去做这样子的一个进城迁移，然后把我们当前所得到的这个权限的话，把它迁移到另一个进程当中。

然后迁移到进程当中之后的话，我们就能够去得到一个稳定的一个绘画，得到一个稳定的一个筛选，然后在这边的话，我们可以看到我们得到一个筛选的话，是一个c什么的一个权限，呃这边的话我们可以来尝试一下好吧。

我这边的话以，啊我这边max断掉了。

重新重新弄一下。

这话我起了一个m4 f的一个服务的，起了一个监听，然后呃，在这的话我模拟一下。

得到一个需要。

只是得到了这样子的普通的一个shell。

肯定卡。

哎呦这po的，拜拜拜拜，我们当起了当前的话得到这样子的一个。

普通用户的一个渲染，就是我这边的话就是模拟，已经得到了一个渲染嘛对吧，我反弹了一个shell，反弹到我们msf上面去了，对反弹上去之后的话，我想要去进行这样子的一个，就是去查找我这边得到一个机器。

它的它是否存在这样的一个漏洞对吧。

那么首先我第一步的话就是去检查它，通过通过这样子的一个命令，对吧，我去执行，执行之后的话，找找到这样的一个找到这样子的一个服务路径，还是，咳咳，输入键的话就是，背一个对，然后的话判断它的一个权限对吧。

发现它是符合我们的要求的，而这个时候的话我们就可以去尝试去啊，上传我们的一个码啊。

我这边的话，我这边的话，嗯我这边的话还是以这边的这个吧，就是我就不我就不重新生成了，我就以这个我这边之前已经生成了这个。

就是这样子的一个路径对吧，呃我把它copy，我把它copy到这一个目录下面去，就是嗯那个，嗯嗯好，这样的话现在的话已经copy copy copy过去了，对吧啊，我们可以查看一下这个目录，咳咳。

大家要注意的话，就是呃就是这种中间有空格的，这种中间有空格的话，你需要用引号去做一个包裹，就这边的话是他出错的一个原因啊，然后可以看到我这边的话已经扣过去了对吧，好call过去之后的话。

呃啊我这边其实还要改一下名字，就是我们要改成这个common 0 x一对吧，好现在的话已经改改改。

改成了对吧，改成了之后的话，我们下一步的话，我们下一步下一步动就是需要去重启服务的，但是重启服务的话。

我们可以来看一下这个服务啊，我们可以通过这个命令去查看对吧，查看的话他的这个服务的一个路径是吧，然后的话我们在这边的话，我们想要去通过sc去啊，比如说我要stop掉，我要去填子这一个。

然后呢你会发现的话。

他这边是没有权限去那个的对吧。

呃其实。

好我下面的话我为了演示，就是我我就不重启我这边的这个机器了啊，然后我这边的话我就通过这样子的一个方法，我去用一个管理员的一个账号去模拟，就是重启这个服对啊，就是你需要去等这个服务。

你要以那个你要去等他去进行一个重启，你重启服务，你只有他它的一个服务重启之后，你才他才会按照我们前面的那个特性，去进一个加载对吧，当然你也可以说就是你让他系统，因为我们前面看的话，它是一个自启动的对吧。

那么你可以重启它的一个系统，让他的一个系统去进行一个支持，然后的话它系统自启的话，那么我们它的服务它也会趋近一个支持对吧，好这句话，我们。

呃我这边的话要我先退一下，哎我这边的话没有尽力的那个jb，是我这边还需要再再去，再去进行一个jobs对啊，这边的话，因为我刚刚就是我没有去设置那个选项，在这边也说一下，就是呃你这边的话。

前面我们这边对吧，我们建立了这样子一个监听，用这个handle模块建立监听，建立监听之后的话，建立监听之后的话，它等待我们的一个pyl的链接对吧，我们那个网连接连接之后的话，他这个job它就会断掉。

也就是他建立连接之后的话，这个任务的话就已经完成了对吧，然后其实我们可以在这个，在这边有个高级选项，就是这个这个把它改为改为force，也就是他这边他尽力筛选之后的话，他不会退掉，就是这边的一个job。

我这边还没有那个没有去设置这个选项，所以的话呃尽力筛选之后的话。

他这边就会断掉，我不是他会那个job就没有，然后我这边还需要去啊，今天一个，然后的话，我这边的话就模拟我这边的一个服务区，进行一个重启嗯。

哭了。

就这一个服对吧，然后我当前的话我去做一个stop停止调查，我去停止这个符是吧，然后停止之后的话，我再去启动它，so start。

然后我这边启动之后的话，你会发现对吧，我这边的话立马就得到了这样子的一个筛选，筛选四，然后我这边切到这个筛选四，你会发现的话，他这边得到一个权限，是一个system的权限对吧。

就是一个system的一个权限，然后我这边的话，谁放的没关系啊。

然后你会发现，就是这边的话它呃我这边执行之后的话对吧，我这边的一个绘画的话立马就断掉。

断掉的话它的一个原因的话，就是我们这边的这个机子，就这边前面所讲的那个呃那个机制，我这边还会断掉，就是因为我们这边的执行的这个common 0 x一的话，它其实不是一个服务。

然后的话他会就这个服务控制管理器的话，它会终止掉这个进程，所以的话我们需要再去精听的时候，去做一个这样的一个设置，就是在得到这个绘画的话，它会立，它会自动的立马再去执行这样的一个迁移进程。

就把我们当前的一个漫画迁移到它的一个系统，上面的一个啊，其他的一个进程，然后的话我们就算我们这边的这一个啊，筛选断掉了，那么我们迁移到那个进程的那个绘画，还是会一直存在的对吧，只要那个进程它不断掉。

然后我这边话我就不设置了，我就不重新那个了啊，然后在这的话我们看我这边的一个截图，就是他会在这边对吧，他得到这个绘画之后是选id 6，然后它会自动的去做这样子的一个，migrate gf。

也就是它会自动的去迁移到一个进程当中，然后的话他会得到这样子的一个呃绘画。

这是一个就是呃去利用这样子的一个可信，服务路径的这样子的一个漏洞，来去进行一个提前好呃，第二个的话就是这个不安全的服务权限，呃关于这个不安全的服务权限的话，这个的话呃我这边用文字做了一个解释。

我们主要的话就是看这边就看这里，就是说我们的这样子的一些啊，像比如说我的一个java的一个升级程序，像这种程序的话，它的它是它的一个系统服务程序，它在加载的时候，都是运行在我们的一个系统权限上面的。

然后呃像这一类的这些程序的话。

他以一个系统的一个权限去进行一个运行对吧，那么如果我们一个t权限的一个用户。

然后对于这类的这种系统服务，调用的这种可执行文件，具有一个可写的一个权限，那么我们可以将其替换成我们自己的一个，2e的可执行文件，然后的话它就能够去随着系统的启动，然后的话来得到它的一个系统的一个权限。

然后在这边的话，我们是通过直接去修改服务的这样子的一个啊，image path的一个注册表值，而不是去修改它的一个服务属性，就其实呃，我们具体来看一下这样子的一个步骤吧，首先的话第一个就是第一步的话。

我们利用这样子的一个工具来去检查，易受到攻击的这样子的一些服务啊，这一个工具的话就是它的一个呃，它是那个windows系统的一个啊工具套件里面的，然后在这些工具的话，它都是windows系统啊。

不都是温微软，微软的这种官方的这样子的一些工具，它是对啊，一些就是对我们windows系统下面的一个，就是作为一个工具箱吧，做一个工具箱，它提供了就是一些啊，其他的一些啊，呃就是怎么说呢，看。

啊预习内容里面有，就是这个一个工具套件，我是瞎的，就是这个这个的话它是嗯就是一些应用程序啊，它的一个应用程序的话，它是就是呃用于他每一个工具的话，它有对应的这样子的一个功能，然后它的这个功能的话。

它是用于就是啊解决啊，windows系统上面的一些问题的这样子的一些工具啊，就这种故障排除工具，然后的话它汇总到了这个套件当中，这个套件当中的话，它有存在，有很多的这种可执行的一个呃应用程序。

就是像这样子，这这边的话就是它的一个核心程序的一个套件，然后它每一个程序的话它都有对应的一个功能，然后在这边的话就是我们用到的话，就是它的这个我们用它的这个工具来去检查啊。

就是容易受到我们这边的这一个啊攻击的，这样子的一个服务，然后这边的话嗯来看一下，我这样的话我就不去，我直接在这个系统上面去做这样的一个操作，就其实际的话，我们首先第一步的话需要把这个工具对吧。

通过我们这边得了这个绘画，我们这边得到快画，把它上传到他的个，上传到这边的一个系统当中对吧，然后的话我们再去进行一个执行。

我这边的话为了就是搞快一点。

我直接在这边执行对吧，然后执行之后的话，他会有这样的一个信息，这些信息的话，其实我们主要找的话就是这一个。

就这一个service or excess，就是这样子的一个属性。

然后其实在这边的话，它也列出了这样子的这么多的这一些啊，这些服务对吧，它对应的这样子的一些啊权限，像比如说seventh query state等等的这样子的一些啊，stop start。

然后在这的话我们主要要找的就是这个service or x。

关于这个的话就是，这边的这一个啊，这里这里这边的这个service ox的话，它意思就是我们对啊，我们的这个服务它的一个属性，它拥有一个完全的一个控制权，然后还有就是呃，还有就是这个order啊。

这个oc选题的user它是指纹的，是系统当中所有的一个用户名密码，这一个就是账户。

这有点多，然后还有第三个。

第三个的话就是这个binary path name，这个的话就是这个参数，它是指向该服务的一个可执行程序的一个路径，然后我们在这边的话，就需要去知道它的一个这样子的一个路径。

然后的话我们在这边其实就是要改的话，就是改的这边的这个binary space name，就是我们将它的这样子的一个属性，把它更改成任意的一个命令，然的话我们再去启动这一个服务的时候，他就会去启动，它。

会去找到这边的这个bba name，就原本的话它是一个可执行程序的一个路径，它会去啊启动它对吧，然后在这边的话，如果我们把它改成命令之后的话，他服务启动的话，它就会去执行我们的一个命令。

而且它是一个session的一个权限去进行一个执行的，然而在这边的话，我以这边的这个就是我以这边的这个a c e n，e t i t x的这个为例，就这个的话是呃a w vs的这样子的一个服务网。

服务名。

而我通过啊s c q c就是来去查看，来去通过这样子的命令去查找这个啊，a单流院士这个服务对吧，他的这样子的一些信息，那前面其实也有说了对吧。

像他的一个set type就是what is that就自启动的，它是随着系统启动而启动的啊，啊主要的话就是关注这边的一个binary pathname，这个的话，这边的话就是表示。

是我们这边的一个可执行程序，它的一个路径，就其实这边的这个呃这个服务啊，这个服务它的一个好执行的一个程序的话，是这个也就是执行这个程序的话，它会有它会启启动为这样子的一个服务，然后呃这边的这个程序路径。

就是这个启动的一个文件名是这个对吧，然后我们在这边的话。

就是说如果我们找到了这样子的一个啊，找到了这样的一个服务，就是比如说就是这个服务，然后的话所有的一个service box，也就是它有这样子的一个属性，那么它有这样子的一个属性的话。

那么我们就能够去对这个服务的一个属性，拥有一个完全的一个控制权，也就是我们当前是一个普通用户对吧，我一个普通用户，我也可以去更改它的这样子的一个属性，也就是这边所列出来的这样子的一些属性。

然后在这边的话它还有就是一个地方的话，就是刚刚说的对吧，我们改这边的这个值的话，这个参数的话我们可以把它改成命令，任何的一个命令，它启动服务的时候，它会去进行一个执行，那么实际的我们实际的一个利用的话。

我们实际的一个命令的话，就是我们可以把更改它的这个服务配置，然后的话去进行一个命令的一个执行对吧，原本的话它是指向的这个程序的对吧，我们在这边通过sc来去对它做一个配置。

又更改这个服务它的一个being pass，注意的话这边的一个bin pass的话，它是其实就是指向的，就是这边的这一个，finally pace name，它的这个参数它所对应的那一个纸的话。

就是这边就这一个being pass，好，我们把它更改成像，比如说在这边更更改成为一个net y，来去添加这样子的一个update user的，这样子的一个用户对吧，然后的话对它做一个启动。

就是给它做一个服务的一个重启，然后这边的一个服务重启跟前面也是一样的，就是我们就是你普通用户的话，他没有权限去进行这样的一个操作，所以的话你需要去呃等待这个服务的一个重启，或者是呃重启它的一个系统数据。

因为它的一个服务，它是随着系统的启动启动的，呃当然的话，其实像这边去添加这样的一个用户的话，是比较繁琐的对吧，好，我们其实实际的话可以，就是我们前面的话已经上传了，上传了一个那个可执行的一个程序对吧。

然后我们其实可以在这边把它，把我们的一个命令改改为，就是启动那一个，我们的那个木马的那个文件对吧，那么他重启服务的时候对吧，他就会去启动我们的那个码，找到我们的那个码去执行。

而且是一个系统的权限去执行的，然而在这边的话呃。

所以这个为例啊，主要的话就是两个演示一下吧好吧，然后我这边的话已经更改成功了对吧，然后注意的话我当前是以管理员用户去那个的，就是呃我中间的话我就因为我这边的话，这个服务的话，它其实是假设。

他假设它是存在这样子的一个漏洞的对吧，因为实际的话它其实是没有的，呃，为了给大家演示嘛，就是，然后我这边的话就以管理员的权限去更改它，然后更改之后的话，我在这边去啊进行一个重启，就是啊。

首先的话net user去查看一下，我这边的话是这些用户对吧，然后我去通过sc去，他说我先停止掉这个符，我只要这一个，啊已经停止掉了，然后的话呃我再来去启动啊，启动之后的话，他有这样子的显示失败了呀。

我们可以通过nt柚子来去查看一下，然后其实我们的那一个就是就跟前，其实前面一样的一个意思嘛，因为我们这边的话更改了他的这个bin path，也就是更改了这边的这一个属性，然后他是这样子一个命令。

而不是我们的那个可执行程序的一个路径了，对吧，所以的话在这边的话。

而不是这一个对吧，这边记一下。

所以的话他在这边的话，它会与去控服务，他没有去响应启动啊，控制的一个请求，也就是没有与我们的那个控制管理器，去进行一个那个嘛，但是实际的话它其实是已经执行了，我们这边的一个命令对吧。

还添加了这样子的一个用户，对吧。

然后的话，我们可以把它添加为一个管理员的用户，这边的话我就不再操作了，好，以及我们可以就是把它改成又启动我们的那个，启动我们这边上传的这个码对吧，然后的话我们就能够去在msf里面去得到一个。

sm的一个需要，这是第二个，第三个的话就是不安全的一个注册表权限，关于注册表的话，大家呃了解吗，然后的话如果大家不了解注册表是什么的话，呃这边的一个预期内容里面给了这几个链接，大家去看一下。

这边的话他详细的介绍的就是注册表的一个，大概的一个信息，就注册表的话它是呃它是windows系统，windows系统里面的一个核心，就是你可以把它理解成一个数据库，而这个数据库里面的话。

它就是包括了有这么多的一些信息，就是你windows系统里面记录这种，你呃软件的一个安装对吧，硬件硬件的一些设备的一个信息对吧，软件信息，还有你的一些管理的一些配置信息，网络设置等等的这样子的一些信息。

他都记录在这样子的一个注册表当中，也就是这样子的一个数据库当中，他他的这样子的一些比如说呃设备硬件，设备的这种说明啊，状态信息数据是吧等等，这些信息他都记录在这个注册表当中。

然后注册表当中的话有这样子的啊，分支分支结构，然后呃其实注册表的话大家可以呃温加，然后ig beat it，打开这样子的一个注册表的一个编辑器啊，然后我们在这边的话就能够去看到。

所有的这样子的一些注册表的一个分支，在这边的话总共的话有这样子的五个分支对吧，跟这边的话是一对应的，然后这五个分支它分别对应的一个作用，在这的话我就不多说了，大家自己了解一下好吧。

然后以其他的一个注册表的一个，存储的一个方式啊，呃主要的话就是，嗯它的一个结构吧，在这边的话了解一下注册表的一个数据结构，首先第一个它就是根茎，主要就是五个，其实就是我们前面说的五个那个分子。

它的一个名字就是它是一个跟进，就是这边这五个是五个跟腱是吧，然后的话只见直径的话有多个子键，还有净值项，就像一个目录当中有多个子目，还有多个文件对吧，我们随便打开一个跟进。

它下面的话有这么多的一个指向直径对吧，比如说这个这个直径下面有这一些对吧，就相当于就是这个目录下面有这些目录嘛对吧，然后的话静静直向，进直向的话就是我们的这一个键键，比如说我这一个键对吧。

他这一个键下面的话就有这样子的一些进直向，就是他由这样子的三个部分组成，名称类型数据对吧，这就是禁止向，然后的话我们大概的了解了什么是注册表，之后的话，我们来看一下，就是在windows当中。

与我们服务相关的这样子的一些信息，它都是存储在这样子的一个注册表象当中的，就是这个，然而在这边的话，还要就是说一下这个这边的这个l k l m对吧，然后这边的一个l k m的话，它其实我们可以看到。

我刚刚的话是直接复制的对吧，呃复制的这样子的一个那个，然后其实你回车之后的话，他其实跳转到的是这个hk logo啊，match是吧，就其实他的这个l k m的话，就等于这边的这个这个跟腱。

就这个这个跟腱，然后他的这个写法的话，它就是hk的话就是h key嘛，然后的话local就是取得l以及lm以及m对吧，就取代它的一个首字母，就表示这样子的一个跟腱，然后我们在这边的话呃。

可以看到就是在这一个指向指针下面，那这一个service这个指令下面对吧，他有这么多的一些呃，这样这么多的一些直径对吧，然后在这边的话它存储的信息的话，它其实就是我们的这样子的一些服务，服务的一个信息。

就是我们这边的这些服务的一个信息，像比如说我们找到那个呃，我们刚刚的那个，啊我这边没有，现在在我这边，就是啊你同样的还是以这个对吧，我们找到这个符，然后这个服务的话它的这个直径对吧。

它的一个净值静止的话就是这一些禁止项，然后我们可以看到这边的这一个对应的，一个信息，它其实跟我们前面通过sc coc去查找了一个信息，他其实对应的是吧，然后在这边的话。

我们可以看到有这样子的一个image path，这个image pass的话，其实我们前面的话改的就是这边对吧，我们改的这样子的一个那个属性，它的一个参数的话，它的一个值的话。

它存储在了这一个image path的这个名称，就是名称为image pass，它的一个它的一个值的话就写到了这边了，对吧啊，其实我们重启这个服务的话，它就是它会去执行这样子的一个命令，然后的话其实呃。

就是我们可以在这在这个注册表当中去查找，这样子的一些服务的一个信息是吧，然后的话如果呃，就是说如果他他的这样子的一个注册表的，这一个呃，这边的这一个，就是说他的这个注册表。

我们是有权限去进行一个更改的对吧，就其实像比如说在这边，我们其实刚刚改的这个东西，它其实也存在了注册表当中对吧，我们更改了这个binary pay，binary p对吧，然后的话它改的这个值。

它同样都是存储在这个注册表当中，那么我们如果说有对这个有对这个服务，它的这个注册表，这些净值向有操作了一个权限对吧，那我们可以直接更改这边的这个image path对吧，我们可以直接去更改它。

更改这边的一个呃它的一个数据更改，我们为我们想要的这样子的一个命令对吧，那我们同样的能够去实现前面的那个啊操作，所以的话在这边的话我们需要去找到，就说我们要能够去对这样子的一个呃，某一个服务。

它的这个这个注册表，它的一个净值的话是有权限去做一个修改的，是，所以的话我们需要去找到对应的，这样子的一个权限，就有权限去操作了这样子的一个服，然后这边的话我们需要去啊，经常就会用到这样子的一个工具。

就这个subur，a s l的这个工具，s u b s l的一个工具，这个工具的话它它是能够去呃紧锁，就是说服务啊，它是能够去检查我们的一个注册表的，这样子的一个权限，通过这样子的一个工具。

能够去检查注册表现的一个权限，如果对注册表象我们有写入权限的话，那么我们可以直接去编辑这个image page的一个值，来去更改服务的一个可执行路径，然后注意的话在这边其实在这边啊。

这一个不安全的注册表权限，跟前面的这个不安全的服务权限，其实大家要分开啊，就我这边的话，其实有特意给了这样子的一句话是吧，呃这边的话说反了吧，这边的话应该是就是说我们这边修改的话。

是他的修改的一个服务的一个属性是吧，这个应该是在后面的，应该放在这边，就是我们这边的话是呃，直接通过修改服务的这个，image path的一个注册表值吧，就我们找到我们有这个权限均一个修改。

然后呃不是去修改服务的一个属性，就是前面这边的话，是我们找到这样子的一个服务，他这个服务的话，我们有对它的一个属性，有一个完全控制的一个权限，所以的话我们可以去修改它的这样子的一个啊。

服务的一个属性对吧，然后在这边的话就是说我们找到这样子的一个，能，我们普通用户能够有权限去进行一个，对他的一个注册表去进行一个编辑的，这样子的一个权限，也就是一个写入的权限。

然后的话找到它对应的这样子的一个服务，那么我们就能够去修改它的这个image path的一个值，来去达到跟前面一样的一个效果的一个操作，然后具体的一个方法，首先的话我们通过这个工具嘛。

我们需要去查找他的这样的一个权权限嘛对吧，然后其实查找的话就是这一个啊服务下面的，这样这样子的一些服务的一个权限对吧，然后其实在这边的话，我这边还是以一个variable service。

就是表示呃能够被利用的这样子的一个符啊，其实我们要查找的话，就是要去查找，这边的这个service这个直径下面对吧，这个指针下面所有的这些服务，它它的一个权限，然后的话如果我们找到了这样子的话。

我们就能够去进行一个啊更改，然后更改的话我们可以通过i g a的，就是说在命令行下面的话，我们可以通过这个方法来去进行一个，注册表的一个修改，然后的话呃在这边的话，我同样的以这个为例。

就是我通过啊修改这一个a c a c u n，这个a w vs这个服务它的这一个净值，呃我们来看一下这个完整的一个命令，就是这样子的啊，我这边的话是通过这样子的一个方法，就是首先msf生成一个au。

这样的一个可执行文件，当然你也可以生，可以生成一个反弹shell，是然后的话上传到目标区上面，这个生成的这个a的柚子的话，它的一个功能其实就是一个单一的一个功能，它的一个功能的话就是呃添加一个。

就说他执行之后的话，他会在本地添加一个账号，添加一个我们这边生成的时候，指定的这样的一个账号，然后的话呃，我们这边的这个命令的一个意思啊，我们来看一下，首先这个杠t的一个选项。

就是表示我们的这边的这个啊type，因为其实前面的话我们有说了，就是净值项的话，它有三个部分对吧，就是它的一个类型，它的名称以及它的一个啊，参一个那个就是它的一个数值对吧，数据。

然后在这边的话就是杠七的话，就表示它的一个类型，我们可以来在这边来看一下，啊就是类型，我们可以看一下这个image past，它的一个类型就是这个对吧，我们可以看一下，就这个。

然后我们指定的一个类型的话，就是这个因为我们要改的话，就是这个image pace嘛，就名称为这个的，就干预的话就指定我们的一个名称，干低的话就是指定我们的一个数据，就我们这边的一个这边这边的一个数据。

然后我这边的一个数据的一个值的话，就更改为了，我们这边所上传的这边的这个a的柚子的这个，可执行程序的一个路径对吧，然后我们通过这样子的一个，因为我们以普通用户也能够去更改它的，这样子的一个注册表对吧。

那我们这一个命令的话是可以去执行的，然后的话更改为了它的一个image path，为我们这边的一个木马，然后当这个服务它去进行一个重启的时候，他就会去，就是说它会进行这样子的一个啊加载。

它会去加载我们这边的这一个，重启之后的话呃，我们的这个程序，它会以一个系统的一个权限执行，就同理的话生成反弹需要的一个po的话呃，要注意去设置自动的一个清理进程，呃这边的话这个我就不不去操作了好吧。

然后呃第三个啊，还有的话就是一些特殊的一个注册表的一个，像啊一些键值呃，在这的话就是这个auto run out to run的话就是自启动，就其实呃就其实大家可以啊，右键这边的一个任务管理器对吧。

然后在这边有一个启动启动，这边的话就记录了有这样子的一些东西，在这边的话就是我的这个当前计算机的一个呃，自启动的一些像，然后这边的这些项的话，它其实就记录了，记录在了我们的这一个这些的注册表当中。

那比如说这边，我们打开这边打开这边的话，可以看到在这边有这样子的一些呃静止，像对吧，有这样子的一些禁止，好像比如说everything，还有我的这样子的这个程序啊对吧，它是一个自启的，就它记录在了这边。

然后记录在这个注册表象下面的话，有什么作用呢，就是说它会随着我们的一个系统的启动而启动，然后的话所以我们，如果说我们能够去像这样子的一个镜子下面，去写一个这样子的一个程序对吧。

那么我们就能够去在它的一个起程序，它在它的系统每次启动的时候，他都会去执行执行一遍，我们的那个呃呃我们的那个可执行程序对吧，那我们就能够去得到对应的一个权限，好像在注册表当中的这种自启动项的话。

我们也通常用来做一个权限的一个位置对吧，然后还有呃第四个的话就是不安全的一个文件，文件夹的一个权限，呃关于这个的话，这个跟前面那个就是啊，就是不安全的一个服务器的话是比较相似的。

它的一个就是我们同样的就是，就是说我们利用的是他的这个服务，它的这个呃可执行程序所在所在的一个路径，我们是啊有这样子的一个权限的对吧，我们可以去做一个修改，那么我们可以尝试直接替换，它的这个可执行程序。

就比如我们可以简单的用这样子，这个反向pd来替换我们这边的这个路径，下面的这个可执行程序文件是吧，然后的话它启动服务之后的话，我们就能够有一个system的权限，这边的话跟前面类似啊。

就是啊我们要检索的这个文件夹的一个目录，它就是这个对吧，就是这一个可执行程序路径所在的这一个目录，下面我们可以尝试去把它的一个核心文件，把它替换成我们的一个，把它写了一个payload，好啊。

以及第五个呃，也是最后一个了，第五个的话就是这个always in store vt，在这边的这一个呃提前的一个利用的话，它是就是说利用的这个利用的这样子的，一个权限。

就是任意用户以这样子的一个nt system的权限，去安装这个msi，当然的话呃前提的话就是你开启了这样子的，就是说你的一个目标系统，它是开启了这样子的一个权限，开启了这样子的一个策略。

就这个always install vt，如果说开启了这样子的一个策略设置的话，那么就是说在windows系统下面，我们通过这个msi好不好。

通过这一个windows的音installer去安装这样子的一个啊，msi的这种文件的时候，他就会去啊，以一个system的一个权限去进行一个执行，所以的话如果我们发现了，有这样的一个设置的话。

我们可以就是使用这样子的一个方法，就我们直接用msf去生成一个这样子的一个，msi的一个文件，然后的话我们来去进行一个执行，我们以普通用户的，我们以普通用户去执行这样的一个msi，那么他再去安装的时候。

它会以一个啊系统，一个系统的那个权限来去安装，然后的话我们生成这个msi的话，开呃包含我们的一个啊木马木马后门对吧，那么我们的一个木马的话，它就会以一个系统的一个权限来确定一个执行。

关于这个策略设置的话，就是我们可以通过这样的一个方法来去判断，就是我们通过i g curry来去，主要的话就是查看它的一个注册表，现在这里，它的一个呃名字是这个。

然后的话呃我们这边执行之后的话，他在这边的话有这样子的一些返回返回值对吧，在这的话，其实它返回的话，就是我们的一个那三三个部分对吧，我们的一个名字，我们的一个类型，我们的一个额数据。

如果说数据是这个0x一的话，就表明这边的话是开启了，就说明我们的这一个策略的话，它是已经启用了，如果说是错误系统，无法找到这样的一个注册表现的话，那么就是这个注册表象其它没有创建。

也就是它的这个策略它是没有启用的，就是说如果你启用了这个策略的话，它就会有这样的一个注册表的一个值啊，啊我们也可以，我们可以通过这样的方法去进行一个启用，而具体的一个应用的一个方法的话。

就是呃生成这样子一个msi的一个ai程序嘛，然后的话呃上传到目标机上面去进行一个执行，执行的话，我们就能够去得到相应的一个设置的一个权限，而在生成这样子的一个呃msi的程序的时候的话。

呃跟前面的话稍微有点不一样，就是在这边的话，我们首先需要去生成一个执行payload的一个反弹，需要的一个payload，就我这边是这样子一个e一个程序，以及这样的一个程序包。

就这样一个msi的一个程序包好，首先的话我们先生成这个payload是吧，然后生成了这个payload的话，我们还要去生成一个，就是说生成一个2a的一个msi，生成一个这样生成一个二一的一个msi。

然后生成了一个方法，那就是像这样子gf指定我们的一个msi，就是生成一个mc的一个格式嘛，然后我们的一个po的话，就是这一个windows的一个e x1 ，然后这个po的话它的意思的话。

他就是呃如果你执行了这个msi，他就会去呃调用，我们这边他会去执行我们这边的一个命令，我们这边执行一个命令的话，就是我们这边的一个payload，也就是我们前面所生成的这个po的，然后我们需要把。

然后的话我们需要把这两个文件都，上传到我们的一个目标机器上面去了，然后的话我们再通过啊这样子的一个方法，msi e x e c来去执行，我们这边的一个msi的一个程序，然后执行这个mi程序的话。

它一执行对吧，执行之后的话，如果说启用的那个策略设置，它就会以一个system的权限去执行，我们这边的一个payload，因为他的这边的这一个安装程序的话，它的一个他的一个目的的话。

就是去执行我们这边的一个pdd，然后的话是一个system的权限去执行，呃然后还有的话，其实我们可以通过这样子一个方法，就是更简单的，就是我们直接啊，先用这样子一个a的柚子的一个po的。

来生成一个就是创建一个账号的一个啊，这样子的一个msi的一个po的，然后的话他在这边执行之后的话啊，在这边执行之后对吧，执行之后的话，它就会一个csm权限，去创建一个这样子的一个账号，而在这边的话。

这边的话就是它的一个呃，分别的一个执行程序的一个方法，以及在这边的话呃给了这样子的三个参数，这三个参数的话主要的话就是呃，呃大家自己看吧，好吧，就是不使用gi的话，就表示啊我们在这边去安装的时候。

他没有这样子，没有一个g i的一个宽，就是没有这种界面嘛，然后按q的话就是静默的去安装嘛，就是没有，不会像我们就如果我们执行对吧，我们执行的话，它会有相应的一些信息，它会显示出来。

然后刚才的话就是指定我们那个安装程序嗯，嗯呃以上的话就是我们本节课的所有内容，就是呃内容的话，呃其实说多也不是很多，但是其实也还是有点多的，然后我这边的话其实讲的也是呃稍微有点快，我怕这边的话讲不完。

然而大家我看大家有没有什么反馈啊，大家有没有什么疑问啊，当然的话，这边的话其实也是需要大家自己去动手做的，就你可能你现在的话可能也是没有什么，没有什么问题吧，应该，呃还在吗，诶，哦还有人在听吗。

呃中间的话我没有啊，我没有去问大家有没有什么疑问，就呃我觉得这边的话，其实我觉得我应该不用讲这么细了，就我这边ppt的话，其实已经已经写好了，当时的话呃想着还是还是给大家讲一下吧。

然而后面的这一些操作的话，这边的话我就没有我没有去一的去尝试的呀，没有给大家去做一个演示了，呃有问题的扣一，没问题的扣二，然后呃自己课后做的扣三吧好吧，这还是老样子，我怎么感觉现在有18个人呃。

除了这两位同学，其他同学是不是都都没在啊，是不是就电脑挂着，然后没没在听啊，给我一点反馈，有人在吗，还可，还是这两位同学是呃，是大家有点懵了。

听懵了吗。

呃好吧呃大家没大家没什么反馈的话，那么我就默认大家是没有问题了好吧，反正有问题的话，有问题的话还是老样子啊，找我问就行了好吧，然后等大家自己课后去操作吧，然后作业的话也还是老样子。

就是把我课上讲的东西自己动手去操作一下，好吧，自己去啊操作一遍，然后自己去理解好，我们本节课，这样的话就到这边结束了，呃大家早点休息吧。