简介：

我们是 Spice Hut，一家刚刚发展壮大的新创公司！我们提供各种香料和俱乐部三明治（以防您饿了），但这不是您来这里的原因。说实话，我们不确定我们的开发人员是否知道他们在做什么，我们的安全问题也在增加。我们要求您执行彻底的渗透测试并尝试拥有 root 权限。祝你好运！

房间链接：

https://tryhackme.com/room/startup#

问题：

挑战开始：

nmap -p 1-65535 -sC -sV 10.10.216.161

首先扫描下端口，发现开了21，22，80三个端口

首先看下ftp
根据nmap扫描结果发现可以匿名登陆
登陆后发现有两个文件和一个可读可写的文件夹

两个文件下载下来后，发现都是一些没啥用的信息

所以还是先看看80端口web服务

没有发现什么有用的信息，扫描目录
发现存在一个file目录

这时候思路就很清晰了，通过ftp上传一个马就可以shell了
反弹马：
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

更改ip，然后上传至ftp上，本地设置好监听

点击访问，成功反弹shell

发现权限很低，先改下交互

python -c "import pty;pty.spawn('/bin/bash')"

接着信息搜集

suid和capabilities提权都不行
这里发现一个属于www用户的文件夹
这里第一个问题的答案在下图，recipe.txt文件中

打开发现是个pacp包

这里顺手开了个http服务下载到本地
本地打开后发现流量包也是一串攻击流量

往下追踪

这里发现一个密码，跟着流量包尝试sudo -l没成功
但是su lennie成功登陆lennie用户

成功找到user flag

接着尝试提权，sudo -l 未成功，看见存在一个scripts文件夹，查看内容

查看脚本内容和txt文件，没什么特别的内容，调用了/etc/print.sh,这个脚本归当前用户所有

突然发现，两次ls -la，那个txt文件的时间发生了改变，判断存在定时任务，那么我们只要在sh文件中加入反弹shell的语句，那么就可以获取root权限

写入反弹shell语句，设置好监听
一会就收到了shell，成功获得root flag

答案