本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/hackme-1,330/

nmap -n -p- -A 192.168.226.129 -o hackme.nmap

nmap掃描結果

開了80埠，訪問看看

是個登入介面，能註冊，那麼就註冊個使用者bmfx，然後登入進去，有個搜尋功能，直接搜尋看看

看到這類搜尋框就試試單引號判斷是否存在注入，但是沒有回顯，猜測有sql注入的可能性非常大，這裡有兩種方式，一種使用burpsuite抓這個搜尋時候的POST請求包儲存成檔案，然後使用sqlmap -r引數讀取檔案注入，另一種直接加引數加cookie進行注入，具體如下：

sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"
 

最終sqlmap識別出來可以通過union注入和時間型盲注，那麼就好辦了， 直接union注入出資料

sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch

發現了超級管理員的標識，但是密碼hash沒有破解出來，丟到somd5.com上面看看

使用超級管理員登入

發現有上傳功能，直接上傳個php檔案居然成功了，沒有任何過濾，然後使用dirb掃描下目標靶機的目錄看看

發現一個uploads，訪問看看發現剛才上傳的webshell已經能看到了

直接使用php-reverse-shell反彈shell到kali本地

升級成友好的tty-shell

找了下家目錄兩個資料夾，找到一個setuid的二進位制檔案

執行一把看看

直接提權成功了