# Startup ## Reconhecimento Ao realizar um portscan básico, encontrei as seguintes portas abertas: ``` PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http ``` Analisando a aplicação web, não encontrei nada relevante.

Página inicial

Olhando o código-fonte, também não encontrei nada muito interessante.

Código-fonte da página inicial

Enquanto a enumeração de subdiretórios com o `gobuster` ainda não foi concluída, analisei o serviço FTP e notei que o servidor permite login anônimo.

Captura de banner do serviço de FTP

Realizei o download dos arquivos acima e notei que a imagem `important.jpg`, na verdade, não é tão importante assim.

😄

Porém, no arquivo `notice.txt`, temos um possível nome de usuário. ``` #Whoever is leaving these damn Among Us memes in this share, it IS NOT FUNNY. People downloading documents from our website will think we are a joke! Now I dont know who it is, but Maya is looking pretty sus. ``` Retomando a enumeração de diretórios, encontrei o diretório `/files`.

Diretório encontrado durante a enumeração

## Exploração Tenho acesso ao serviço FTP e a um diretório de arquivos... Posso tentar subir uma shell reversa através do serviço FTP.

Success!

Tentarei obter uma shell full TTY através do Python. ``` python3 -c 'import pty;pty.spawn("/bin/bash")' CTRL + Z stty raw -echo fg export TERM=xterm ```

Shell full TTY obtida

Agora posso checar por arquivos e, ao realizar tal procedimento, encontrei a primeira flag.

Captura da primeira flag

Analisando os arquivos em maior profundidade, encontrei uma pasta chamada `incidents` e, dentro dela, um arquivo de extensão `.pcapng`.

Arquivo interessante encontrado

Realizando a cópia do arquivo para a minha máquina via `scp` e analisando o arquivo com o `Wireshark`, encontrei um pacote que continha uma possível (e aparente) senha.

Captura do pacote contendo uma possível senha

## Movimentação Lateral Analisando a pasta `/home` para verificar a existência de outros usuários, encontrei outro usuário. Agora com um nome de usuário genuíno e uma possível senha, posso tentar realizar uma movimentação lateral.

Captura da segunda flag

## Escalação de Privilégio Analisando a pasta `scripts`, encontrei um script em shell chamado `planner.sh`, pertencente ao usuário root mas com permissão de execução para qualquer usuário.

Scripts pertencentes ao usuário root e suas permissões

Conteúdo do script planner.sh

O script acima basicamente envia o conteúdo da variável `LIST` para dentro do arquivo `/scripts/startup_list.txt` e, após o envio, executa o script `/etc/print.sh`, ao qual investigarei agora.

Dono do script /etc/print.sh é o usuário que estou utilizando no momento. Good news

Checando o conteúdo do script, trata-se apenas de uma chamada de shell e a exibição de uma mensagem de conclusão. ```shell #!/bin/bash echo "Done!" ``` Checando executáveis com permissão SUID, encontrei o executável `crontab`. Apontarei o script `planner.sh` no `crontab` do usuário que acessei para tentar obter uma shell reversa com permissões elevadas.

Configuração do crontab para o script planner.sh

Escalação de privilégio via crontab

Captura da última flag

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://2h4ck.gitbook.io/home/ctf/tryhackme/startup.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.