Tryhackme-Startup

Startup

文章目录

task1 Welcome to Spice Hut!

nmap扫描发现靶机开启21-FTP、22-SSH、80-Web三个端口

Tryhackme-Startup

gobuster扫描80端口发现隐藏files目录,可以看到有ftp文件夹,考虑通过FTP上传反弹shell

Tryhackme-Startup

Tryhackme-Startup

命令行连接21端口,anonymous用户空密码匿名访问成功,用户在ftp目录下具有完全权限,在ftp目录下上传反弹shell文件。

Tryhackme-Startup

nc监听端口,浏览器点击反弹shell文件,即可获取shell。

Tryhackme-Startup

1.What is the secret spicy soup recipe?

获取反弹shell后,在web目录下找到recipe.txt文件获知汤的秘方就是love

Tryhackme-Startup

2.What are the contents of user.txt?

文件系统中处理recipe.txt文件外,还有incidents目录属于www-data,该目录下有suspicious.pcapng文件,下载该文件,使用wireshark打开。

Tryhackme-Startup

追踪TCP流,得知lennie用户密码为c4ntg3t3n0ughsp1c3。

Tryhackme-Startup

运行python -c "import pty;pty.spawn('/bin/bash')"获取完整shell,切换lennie用户

Tryhackme-Startup

在lennie用户家目录发现user.txt,得到user flag为THM{03ce3d619b80ccbfb3b7fc81e46c0e79}

Tryhackme-Startup

3.What are the contents of root.txt?

script目录下有root用户创建的sh文件,脚本文件将环境变量$LIST写入startup_list.txt文件然后执行/etc/print.sh脚本文件。

Tryhackme-Startup

尝试执行,没有权限写入startup_list.txt但print.sh文件可以执行

Tryhackme-Startup

ps -aux命令查看所有进程,发现planner.sh文件作为cronjob执行

Tryhackme-Startup

将反弹shell语句写入/etc/print.sh,本机使用nc监听端口,等待planner.sh脚本定时执行

Tryhackme-Startup

在root用户家目录下找到root flag为THM{f963aaa6a430f210222158ae15c3d76d}

Tryhackme-Startup

上一篇:Tomcat 启动闪退问题


下一篇:Nacos启动没反应