[HTB] 靶机学习 Fluffy
字数 1737 2025-08-29 22:41:32

HTB靶机Fluffy渗透测试报告

1. 初始信息收集

1.1 靶机基本信息

  • 靶机名称:Fluffy
  • 操作系统:Windows (Active Directory域控制器)
  • 初始凭证:
    • 用户名:j.fleischman
    • 密码:J0elTHEM4n1990!
  • 域名:fluffy.htb
  • 域控制器主机名:DC01.fluffy.htb

1.2 端口扫描结果

使用nmap进行扫描发现以下开放端口:

53/tcp   open  domain            Simple DNS Plus
88/tcp   open  kerberos-sec      Microsoft Windows Kerberos
139/tcp  open  netbios-ssn       Microsoft Windows netbios-ssn
389/tcp  open  ldap              Microsoft Windows Active Directory LDAP
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
636/tcp  open  ssl/ldap          Microsoft Windows Active Directory LDAP
3269/tcp open  globalcatLDAPssl

2. 初始访问尝试

2.1 Evil-WinRM尝试

使用初始凭证尝试通过Evil-WinRM登录失败:

evil-winrm -u j.fleischman -p J0elTHEM4n1990! -i 10.10.11.69

2.2 SMB枚举

2.2.1 共享目录枚举

使用CrackMapExec枚举SMB共享:

crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --shares

2.2.2 用户枚举

通过RID暴力枚举域用户:

crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --rid-brute

提取用户到文件:

crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --rid-brute | grep "SidTypeUser" | awk -F '\\' '{print $2}' | awk '{print $1}' > users.txt

2.2.3 密码喷洒尝试

尝试使用初始密码对其他用户进行密码喷洒:

netexec ldap 10.10.11.69 -d fluffy.htb -u users.txt -p 'J0elTHEM4n1990!'

3. SMB深入利用

3.1 访问IT共享目录

发现对IT共享目录有读写权限:

smbclient //10.10.11.69/IT -U fluffy.htb/j.fleischman%J0elTHEM4n1990!

3.2 发现漏洞利用点

在IT目录中发现一个PDF文件,内容为IT部门升级公告,提到需要修复CVE-2025-24071漏洞。

4. CVE-2025-24071漏洞利用

4.1 漏洞描述

Windows文件资源管理器(Explorer.exe)信任基于XML格式的.library-ms文件。当.library-ms文件被压缩在RAR/ZIP文件中解压时,文件资源管理器会自动处理并解析该文件内容。

如果.library-ms文件中包含指向攻击者控制SMB服务器的标签,Windows资源管理器会自动尝试解析该SMB路径,触发隐式NTLM认证握手,导致受害者的NTLMv2哈希被发送到攻击者控制的SMB服务器。

4.2 漏洞利用步骤

  1. 从GitHub获取PoC代码:

    https://github.com/0x6rss/CVE-2025-24071_PoC/

  2. 创建恶意.library-ms文件指向攻击者SMB服务器

  3. 将文件压缩为ZIP格式并上传到IT共享目录

  4. 启动Responder或其他SMB服务器捕获NTLMv2哈希

  5. 成功捕获到p.agila用户的NTLMv2哈希

5. 横向移动

5.1 BloodHound域信息收集

使用BloodHound收集域信息,发现以下关键权限关系:

  • SERVICE ACCOUNT MANAGERS组对SERVICE ACCOUNT组有Generic All权限
  • SERVICE ACCOUNT组对winrm_svc用户有Generic Write权限

5.2 哈希爆破

对捕获的p.agila用户哈希进行爆破,成功获取密码:prometheusx-303

5.3 权限提升

  1. 使用p.agila凭证登录
  2. 将p.agila用户添加到SERVICE ACCOUNT组

6. 影子攻击与证书服务利用

6.1 寻找CA证书服务器

在域环境中定位证书服务

6.2 检查winrm_svc用户的msDS-KeyCredentialLink属性

确认该属性存在,可用于影子攻击

6.3 获取winrm_svc用户NTLM哈希

成功获取哈希:33bd09dcd697600edf6b3a7af4875767

6.4 获取ca_svc用户NTLM哈希

成功获取哈希:ca0f4f9e9eb8a092addf53bb03fc98c8

7. ESC16攻击

7.1 枚举可用证书模板

发现存在漏洞的证书模板

7.2 执行ESC16攻击

利用证书服务漏洞获取管理员权限

7.3 获取Administrator的NTLM哈希

成功获取管理员哈希

8. 最终权限获取

  1. 使用evil-winrm以winrm_svc用户登录,在桌面获取第一个flag
  2. 使用Administrator哈希通过evil-winrm登录,获取第二个flag

9. 总结

本靶机渗透测试过程涉及多个关键技术和漏洞利用点:

  1. 初始SMB枚举和信息收集
  2. CVE-2025-24071漏洞利用捕获NTLMv2哈希
  3. BloodHound分析域权限关系
  4. 通过组权限提升实现横向移动
  5. 证书服务漏洞(ESC16)实现权限提升
  6. 最终获取域管理员权限

整个渗透测试过程展示了Windows域环境中常见的攻击路径和权限提升方法,特别是利用文件解析漏洞和证书服务漏洞的组合攻击。

HTB靶机Fluffy渗透测试报告 1. 初始信息收集 1.1 靶机基本信息 靶机名称:Fluffy 操作系统:Windows (Active Directory域控制器) 初始凭证: 用户名:j.fleischman 密码:J0elTHEM4n1990 ! 域名:fluffy.htb 域控制器主机名:DC01.fluffy.htb 1.2 端口扫描结果 使用nmap进行扫描发现以下开放端口: 2. 初始访问尝试 2.1 Evil-WinRM尝试 使用初始凭证尝试通过Evil-WinRM登录失败: 2.2 SMB枚举 2.2.1 共享目录枚举 使用CrackMapExec枚举SMB共享: 2.2.2 用户枚举 通过RID暴力枚举域用户: 提取用户到文件: 2.2.3 密码喷洒尝试 尝试使用初始密码对其他用户进行密码喷洒: 3. SMB深入利用 3.1 访问IT共享目录 发现对IT共享目录有读写权限: 3.2 发现漏洞利用点 在IT目录中发现一个PDF文件,内容为IT部门升级公告,提到需要修复CVE-2025-24071漏洞。 4. CVE-2025-24071漏洞利用 4.1 漏洞描述 Windows文件资源管理器(Explorer.exe)信任基于XML格式的.library-ms文件。当.library-ms文件被压缩在RAR/ZIP文件中解压时,文件资源管理器会自动处理并解析该文件内容。 如果.library-ms文件中包含指向攻击者控制SMB服务器的标签,Windows资源管理器会自动尝试解析该SMB路径,触发隐式NTLM认证握手,导致受害者的NTLMv2哈希被发送到攻击者控制的SMB服务器。 4.2 漏洞利用步骤 从GitHub获取PoC代码: 创建恶意.library-ms文件指向攻击者SMB服务器 将文件压缩为ZIP格式并上传到IT共享目录 启动Responder或其他SMB服务器捕获NTLMv2哈希 成功捕获到p.agila用户的NTLMv2哈希 5. 横向移动 5.1 BloodHound域信息收集 使用BloodHound收集域信息,发现以下关键权限关系: SERVICE ACCOUNT MANAGERS组对SERVICE ACCOUNT组有Generic All权限 SERVICE ACCOUNT组对winrm_ svc用户有Generic Write权限 5.2 哈希爆破 对捕获的p.agila用户哈希进行爆破,成功获取密码: prometheusx-303 5.3 权限提升 使用p.agila凭证登录 将p.agila用户添加到SERVICE ACCOUNT组 6. 影子攻击与证书服务利用 6.1 寻找CA证书服务器 在域环境中定位证书服务 6.2 检查winrm_ svc用户的msDS-KeyCredentialLink属性 确认该属性存在,可用于影子攻击 6.3 获取winrm_ svc用户NTLM哈希 成功获取哈希: 33bd09dcd697600edf6b3a7af4875767 6.4 获取ca_ svc用户NTLM哈希 成功获取哈希: ca0f4f9e9eb8a092addf53bb03fc98c8 7. ESC16攻击 7.1 枚举可用证书模板 发现存在漏洞的证书模板 7.2 执行ESC16攻击 利用证书服务漏洞获取管理员权限 7.3 获取Administrator的NTLM哈希 成功获取管理员哈希 8. 最终权限获取 使用evil-winrm以winrm_ svc用户登录,在桌面获取第一个flag 使用Administrator哈希通过evil-winrm登录,获取第二个flag 9. 总结 本靶机渗透测试过程涉及多个关键技术和漏洞利用点: 初始SMB枚举和信息收集 CVE-2025-24071漏洞利用捕获NTLMv2哈希 BloodHound分析域权限关系 通过组权限提升实现横向移动 证书服务漏洞(ESC16)实现权限提升 最终获取域管理员权限 整个渗透测试过程展示了Windows域环境中常见的攻击路径和权限提升方法,特别是利用文件解析漏洞和证书服务漏洞的组合攻击。