Startup

文章目录

• • Startup
  • • task1 Welcome to Spice Hut!

task1 Welcome to Spice Hut!

nmap扫描发现靶机开启21-FTP、22-SSH、80-Web三个端口

gobuster扫描80端口发现隐藏files目录，可以看到有ftp文件夹，考虑通过FTP上传反弹shell

命令行连接21端口，anonymous用户空密码匿名访问成功，用户在ftp目录下具有完全权限，在ftp目录下上传反弹shell文件。

nc监听端口，浏览器点击反弹shell文件，即可获取shell。

1.What is the secret spicy soup recipe?

获取反弹shell后，在web目录下找到recipe.txt文件获知汤的秘方就是love

2.What are the contents of user.txt?

文件系统中处理recipe.txt文件外，还有incidents目录属于www-data，该目录下有suspicious.pcapng文件，下载该文件，使用wireshark打开。

追踪TCP流，得知lennie用户密码为c4ntg3t3n0ughsp1c3。

运行python -c "import pty;pty.spawn('/bin/bash')"获取完整shell，切换lennie用户

在lennie用户家目录发现user.txt，得到user flag为THM{03ce3d619b80ccbfb3b7fc81e46c0e79}

3.What are the contents of root.txt?

script目录下有root用户创建的sh文件，脚本文件将环境变量$LIST写入startup_list.txt文件然后执行/etc/print.sh脚本文件。

尝试执行，没有权限写入startup_list.txt但print.sh文件可以执行

ps -aux命令查看所有进程，发现planner.sh文件作为cronjob执行

将反弹shell语句写入/etc/print.sh,本机使用nc监听端口，等待planner.sh脚本定时执行

在root用户家目录下找到root flag为THM{f963aaa6a430f210222158ae15c3d76d}