2026-04-01

hackfest2016: Orcus

是一个打包好的镜像文件

注意：导入 vmx 时一定要选择我已移动，否则没网

使用 Nmap 扫描出开放服务及操作系统版本

弱口令

扫描目录

访问 /backups 目录拿到源码

翻到了数据库账号密码

成功登录到了前面扫出来的 phpMyAdmin 后台

在数据库中找到一个和之前扫出的目录同名的

访问 Web 页面发现需要数据库的配置信息

使用上面的账号密码初始化进去

完成安装

再完成后续的部署步骤后登录进去

在插件模块中开启这个功能

上传 PHP 木马

连接成功

1	python -c 'import pty;pty.spawn("/bin/bash")'

因为之前 NMap 扫描出挂载了 NFS，所以我们先看看共享列表

1	showmount -e localhost

这里我们先创建一个目录

然后将靶机的共享的 /tmp 目录挂载到创建的目录中

再随便创建一个文件并查看权限是不是 root

如果文件的属主是 root，说明 no_root_squash 生效（客户端的 root 映射为服务器端的 root）

我们可以将靶机的 /bin/bash 拷贝到 /tmp 目录中

1	cp /bin/bash pwn

然后在 Kali 上修改权限并设置 SUID

靶机运行提权成功