Startup
文章目录
task1 Welcome to Spice Hut!
nmap扫描发现靶机开启21-FTP、22-SSH、80-Web三个端口
gobuster扫描80端口发现隐藏files目录,可以看到有ftp文件夹,考虑通过FTP上传反弹shell
命令行连接21端口,anonymous用户空密码匿名访问成功,用户在ftp目录下具有完全权限,在ftp目录下上传反弹shell文件。
nc监听端口,浏览器点击反弹shell文件,即可获取shell。
1.What is the secret spicy soup recipe?
获取反弹shell后,在web目录下找到recipe.txt文件获知汤的秘方就是love
2.What are the contents of user.txt?
文件系统中处理recipe.txt文件外,还有incidents目录属于www-data,该目录下有suspicious.pcapng文件,下载该文件,使用wireshark打开。
追踪TCP流,得知lennie用户密码为c4ntg3t3n0ughsp1c3。
运行python -c "import pty;pty.spawn('/bin/bash')"
获取完整shell,切换lennie用户
在lennie用户家目录发现user.txt,得到user flag为THM{03ce3d619b80ccbfb3b7fc81e46c0e79}
3.What are the contents of root.txt?
script目录下有root用户创建的sh文件,脚本文件将环境变量$LIST写入startup_list.txt文件然后执行/etc/print.sh脚本文件。
尝试执行,没有权限写入startup_list.txt但print.sh文件可以执行
ps -aux命令查看所有进程,发现planner.sh文件作为cronjob执行
将反弹shell语句写入/etc/print.sh,本机使用nc监听端口,等待planner.sh脚本定时执行
在root用户家目录下找到root flag为THM{f963aaa6a430f210222158ae15c3d76d}