Hướng Dẫn Hack Bricks.thm: Khai Thác Lỗ Hổng RCE trong WordPress Bricks Theme (CVE-2024-25600)

Lê Lân

21/08/2025

Hướng Dẫn Chi Tiết Khám Phá Lỗ Hổng RCE CVE-2024-25600 Trên Ứng Dụng Web Wordpress Bricks

Mở Đầu

Trong thế giới bảo mật mạng, việc phát hiện và khai thác lỗ hổng bảo mật trên các ứng dụng web là kỹ năng quan trọng đối với các chuyên gia an ninh. Lần này, chúng ta sẽ khám phá một kiểu tấn công Remote Code Execution (RCE) không cần xác thực trên plugin Bricks của Wordpress với mã hiệu CVE-2024-25600.

Trong bài viết này, tôi sẽ dẫn bạn qua quá trình từ thu thập thông tin ban đầu, rà soát các dịch vụ chạy trên máy chủ, cho tới tìm ra và tận dụng điểm yếu nghiêm trọng trong plugin Bricks phiên bản 1.9.5. Qua đó, bạn sẽ thấy tầm quan trọng của việc kiểm tra kỹ các thành phần trong hệ thống và cách triển khai khai thác một lỗ hổng RCE đầy sức mạnh.

Initial Recon and Enumeration

Quét Cổng và Dịch Vụ Mở

Bước đầu tiên trong một bài kiểm tra bảo mật là quét các cổng mở với lời khuyên quen thuộc: dùng nmap . Kết quả quét cho ra:

Cổng	Dịch vụ	Phiên bản	Ghi chú
22	SSH	OpenSSH 8.2p1 Ubuntu	Có thể dùng nếu có thông tin đăng nhập
80	HTTP	Python http.server 3.8.10	Chạy WebSockify (hỗ trợ WebSocket)
443	HTTPS	Apache httpd	Chạy Wordpress 6.5
3306	MySQL	MySQL (Không cần xác thực)	Rất nguy hiểm nếu truy cập được

Lưu ý: MySQL đang mở chế độ không cần xác thực bên ngoài, đây là một điểm rất xung yếu cần kiểm tra thêm.

Khám Phá Các Điểm Đáng Chú Ý Trên Ứng Dụng Web

Trên cổng 443, Wordpress có file robots.txt cho biết /wp-admin/ bị giới hạn, tuy nhiên /wp-admin/admin-ajax.php vẫn truy cập được bình thường.

Trên cổng 80, WebSockify đang chạy và thiết lập một giao thức VNC có thể tận dụng khi kết nối bằng công cụ VNC client.

Directory scan cho thấy sự tồn tại của thư mục /cgi-bin/ với một số endpoint hấp dẫn như test-cgi và printenv .

Phiên bản phpMyAdmin được phát hiện là 5.2.1.

Finding What's Vulnerable

Kiểm Tra Các Lỗ Hổng Phổ Biến

Kết quả tìm kiếm trên ExploitDB và Google về các version thành phần không thu về kết quả khả quan.

Websockify trên port 80 chứng kiến dấu hiệu liên quan đến VNC (Remote Frame Buffer - RFB 003.008).

WordPress có plugin Bricks phiên bản 1.9.5, tiềm ẩn rủi ro bảo mật.

Phát Hiện Lỗ Hổng RCE CVE-2024-25600

Plugin Bricks version 1.9.5 chứa một lỗ hổng Remote Code Execution không cần xác thực.

Nguyên nhân là do sử dụng hàm eval() trực tiếp trên tham số người dùng ( $php_query_raw ).

Lỗ hổng được kích hoạt thông qua endpoint admin-ajax.php không bị giới hạn.

Đây là điểm rất nguy hiểm bởi không cần tài khoản người dùng để khai thác.

Cảnh báo: Lỗ hổng RCE cho phép kẻ tấn công thực thi mã PHP tuỳ ý trên máy chủ, có thể chiếm quyền điều khiển hoàn toàn hệ thống.

Bạn có thể tham khảo thêm bài phân tích chi tiết trên Medium .

Exploitation Time

Chuẩn Bị Công Cụ Khai Thác

Tác giả exploit: K3ysTr0K3R trên Github - CVE-2024-25600-EXPLOIT

Tạo môi trường ảo Python để cài đặt dependencies như: bs4 , rich , requests , prompt_toolkit , alive_progress .

Thực Thi Exploit

git clone https://github.com/K3ysTr0K3R/CVE-2024-25600-EXPLOIT.git
cd CVE-2024-25600-EXPLOIT
python3 CVE-2024-25600.py -u https://bricks.thm

Kết quả:

Mở thành công shell tương tác trên server.

Chạy bất kỳ lệnh hệ thống nào với quyền của user apache .

Lưu ý: Mặc dù có shell, quyền của user apache có thể giới hạn, vẫn cần tiếp tục nâng quyền nếu cần.

Getting the Flags

Khám Phá Sâu Hơn

Chạy ls để liệt kê thư mục, nhận thấy file có tên ngẫu nhiên lớn, cat file để lấy dữ liệu.

Kiểm tra các process với ps aux không có gì bất thường.

Chạy systemctl | grep running để xác định các service đang hoạt động, chú ý service TRYHACK3M .

Dùng systemctl status <service> để xem chi tiết.

Tìm File Log Quan Trọng

Khám phá thư mục /var/log/ không hữu ích, nhưng file inet.conf thực chất là file log.

Mở file và lấy một chuỗi ID được mã hóa khá phức tạp.

Giải Mã Mã Hóa

Giải mã chuỗi theo thứ tự:

Base64 (2 lần liên tiếp)

Kết quả cuối cùng là một địa chỉ ví Bitcoin:

bc1qyk79fcp9hd5kreprce89tkh4wrtl8avt4l67qa

Tra Cứu Địa Chỉ Ví

Tra cứu trên blockchair.com để xác minh.

Chuỗi này liên quan đến nhóm LockBit, một nhóm ransomware.

Kết Luận

Qua bài thử thách lần này, ta học được tính kiên nhẫn và sự tỉ mỉ trong việc điều tra lỗ hổng cũng như khai thác hệ thống. Nhiều khi, điểm yếu nằm ở chỗ tưởng chừng như không quan trọng nhất!

Nếu bạn là người làm bảo mật hoặc muốn nâng cao kỹ năng pentest, luôn phải nhớ:

Kiểm tra kỹ các phiên bản phần mềm đang dùng.

Không bỏ sót những điểm giao tiếp như admin-ajax.php .

Triển khai khai thác với công cụ phù hợp để phát huy tối đa lợi thế.

Tham gia vào cộng đồng bảo mật, trao đổi và thực hành thường xuyên là con đường chắc chắn để thành công.

Tham Khảo

CVE-2024-25600 Bricks Builder Remote Code Execution

Chinmay Joshi. (2024). Unauthenticated Remote Code Execution Vulnerability in Bricks Builder for Wordpress

K3ysTr0K3R GitHub Repository: CVE-2024-25600-EXPLOIT

Blockchair Bitcoin Explorer

Mẹo Bổ Sung: Luôn cập nhật các bản vá mới nhất cho plugin và phần mềm Wordpress. Đặc biệt cẩn trọng các endpoint AJAX không cần xác thực có thể là điểm vào cho tin tặc.