TryHackMe-Startup

发布于 2022-11-20  249 次阅读


简介:

我们是 Spice Hut,一家刚刚发展壮大的新创公司!我们提供各种香料和俱乐部三明治(以防您饿了),但这不是您来这里的原因。说实话,我们不确定我们的开发人员是否知道他们在做什么,我们的安全问题也在增加。我们要求您执行彻底的渗透测试并尝试拥有 root 权限。祝你好运!

房间链接:

https://tryhackme.com/room/startup#

问题:

挑战开始:

nmap -p 1-65535 -sC -sV 10.10.216.161

首先扫描下端口,发现开了21,22,80三个端口

首先看下ftp
根据nmap扫描结果发现可以匿名登陆
登陆后发现有两个文件和一个可读可写的文件夹

两个文件下载下来后,发现都是一些没啥用的信息

所以还是先看看80端口web服务

没有发现什么有用的信息,扫描目录
发现存在一个file目录

这时候思路就很清晰了,通过ftp上传一个马就可以shell了
反弹马:
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

更改ip,然后上传至ftp上,本地设置好监听


点击访问,成功反弹shell

发现权限很低,先改下交互

python -c "import pty;pty.spawn('/bin/bash')"

接着信息搜集

suid和capabilities提权都不行
这里发现一个属于www用户的文件夹
这里第一个问题的答案在下图,recipe.txt文件中

打开发现是个pacp包

这里顺手开了个http服务下载到本地
本地打开后发现流量包也是一串攻击流量

往下追踪

这里发现一个密码,跟着流量包尝试sudo -l没成功
但是su lennie成功登陆lennie用户

成功找到user flag

接着尝试提权,sudo -l 未成功,看见存在一个scripts文件夹,查看内容

查看脚本内容和txt文件,没什么特别的内容,调用了/etc/print.sh,这个脚本归当前用户所有

突然发现,两次ls -la,那个txt文件的时间发生了改变,判断存在定时任务,那么我们只要在sh文件中加入反弹shell的语句,那么就可以获取root权限

写入反弹shell语句,设置好监听
一会就收到了shell,成功获得root flag

答案

届ける言葉を今は育ててる
最后更新于 2022-11-20