HTB靶机Fluffy渗透测试报告<\/h1>

1. 初始信息收集<\/h2>

1.1 靶机基本信息<\/h3>

靶机名称：Fluffy<\/li>
操作系统：Windows (Active Directory域控制器)<\/li>

初始凭证：

用户名：j.fleischman<\/li>
密码：J0elTHEM4n1990!<\/li> <\/ul> <\/li>
域名：fluffy.htb<\/li>

域控制器主机名：DC01.fluffy.htb<\/li> <\/ul>

1.2 端口扫描结果<\/h3>

使用nmap进行扫描发现以下开放端口：<\/p>

53\/tcp   open  domain            Simple DNS Plus
88\/tcp   open  kerberos-sec      Microsoft Windows Kerberos
139\/tcp  open  netbios-ssn       Microsoft Windows netbios-ssn
389\/tcp  open  ldap              Microsoft Windows Active Directory LDAP
445\/tcp  open  microsoft-ds
464\/tcp  open  kpasswd5
636\/tcp  open  ssl\/ldap          Microsoft Windows Active Directory LDAP
3269\/tcp open  globalcatLDAPssl
<\/code><\/pre>
2. 初始访问尝试<\/h2>
2.1 Evil-WinRM尝试<\/h3>
使用初始凭证尝试通过Evil-WinRM登录失败：<\/p>
evil-winrm -u j.fleischman -p J0elTHEM4n1990! -i 10.10.11.69
<\/code><\/pre>
2.2 SMB枚举<\/h3>
2.2.1 共享目录枚举<\/h4>
使用CrackMapExec枚举SMB共享：<\/p>
crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --shares
<\/code><\/pre>
2.2.2 用户枚举<\/h4>
通过RID暴力枚举域用户：<\/p>
crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --rid-brute
<\/code><\/pre>
提取用户到文件：<\/p>
crackmapexec smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --rid-brute | grep "SidTypeUser" | awk -F '\\' '{print $2}' | awk '{print $1}' > users.txt
<\/code><\/pre>
2.2.3 密码喷洒尝试<\/h4>
尝试使用初始密码对其他用户进行密码喷洒：<\/p>
netexec ldap 10.10.11.69 -d fluffy.htb -u users.txt -p 'J0elTHEM4n1990!'
<\/code><\/pre>
3. SMB深入利用<\/h2>
3.1 访问IT共享目录<\/h3>
发现对IT共享目录有读写权限：<\/p>
smbclient \/\/10.10.11.69\/IT -U fluffy.htb\/j.fleischman%J0elTHEM4n1990!
<\/code><\/pre>
3.2 发现漏洞利用点<\/h3>
在IT目录中发现一个PDF文件，内容为IT部门升级公告，提到需要修复CVE-2025-24071漏洞。<\/p>
4. CVE-2025-24071漏洞利用<\/h2>
4.1 漏洞描述<\/h3>
Windows文件资源管理器(Explorer.exe)信任基于XML格式的.library-ms文件。当.library-ms文件被压缩在RAR\/ZIP文件中解压时，文件资源管理器会自动处理并解析该文件内容。<\/p>
如果.library-ms文件中包含指向攻击者控制SMB服务器的标签，Windows资源管理器会自动尝试解析该SMB路径，触发隐式NTLM认证握手，导致受害者的NTLMv2哈希被发送到攻击者控制的SMB服务器。<\/p>
4.2 漏洞利用步骤<\/h3>


从GitHub获取PoC代码：<\/p>
https:\/\/github.com\/0x6rss\/CVE-2025-24071_PoC\/
<\/code><\/pre>
<\/li>

创建恶意.library-ms文件指向攻击者SMB服务器<\/p>
<\/li>

将文件压缩为ZIP格式并上传到IT共享目录<\/p>
<\/li>

启动Responder或其他SMB服务器捕获NTLMv2哈希<\/p>
<\/li>

成功捕获到p.agila用户的NTLMv2哈希<\/p>
<\/li>
<\/ol>
5. 横向移动<\/h2>
5.1 BloodHound域信息收集<\/h3>
使用BloodHound收集域信息，发现以下关键权限关系：<\/p>

SERVICE ACCOUNT MANAGERS组对SERVICE ACCOUNT组有Generic All权限<\/li>
SERVICE ACCOUNT组对winrm_svc用户有Generic Write权限<\/li>
<\/ul>
5.2 哈希爆破<\/h3>
对捕获的p.agila用户哈希进行爆破，成功获取密码：prometheusx-303<\/code><\/p>
5.3 权限提升<\/h3>

使用p.agila凭证登录<\/li>
将p.agila用户添加到SERVICE ACCOUNT组<\/li>
<\/ol>
6. 影子攻击与证书服务利用<\/h2>
6.1 寻找CA证书服务器<\/h3>
在域环境中定位证书服务<\/p>
6.2 检查winrm_svc用户的msDS-KeyCredentialLink属性<\/h3>
确认该属性存在，可用于影子攻击<\/p>
6.3 获取winrm_svc用户NTLM哈希<\/h3>
成功获取哈希：33bd09dcd697600edf6b3a7af4875767<\/code><\/p>
6.4 获取ca_svc用户NTLM哈希<\/h3>
成功获取哈希：ca0f4f9e9eb8a092addf53bb03fc98c8<\/code><\/p>
7. ESC16攻击<\/h2>
7.1 枚举可用证书模板<\/h3>
发现存在漏洞的证书模板<\/p>
7.2 执行ESC16攻击<\/h3>
利用证书服务漏洞获取管理员权限<\/p>
7.3 获取Administrator的NTLM哈希<\/h3>
成功获取管理员哈希<\/p>
8. 最终权限获取<\/h2>

使用evil-winrm以winrm_svc用户登录，在桌面获取第一个flag<\/li>
使用Administrator哈希通过evil-winrm登录，获取第二个flag<\/li>
<\/ol>
9. 总结<\/h2>
本靶机渗透测试过程涉及多个关键技术和漏洞利用点：<\/p>

初始SMB枚举和信息收集<\/li>
CVE-2025-24071漏洞利用捕获NTLMv2哈希<\/li>
BloodHound分析域权限关系<\/li>
通过组权限提升实现横向移动<\/li>
证书服务漏洞(ESC16)实现权限提升<\/li>
最终获取域管理员权限<\/li>
<\/ol>
整个渗透测试过程展示了Windows域环境中常见的攻击路径和权限提升方法，特别是利用文件解析漏洞和证书服务漏洞的组合攻击。<\/p>

HTB靶机Fluffy渗透测试报告<\/h1>

1. 初始信息收集<\/h2>

2. 初始访问尝试<\/h2>

2.2 SMB枚举<\/h3>

3. SMB深入利用<\/h2>

3.2 发现漏洞利用点<\/h3>
在IT目录中发现一个PDF文件，内容为IT部门升级公告，提到需要修复CVE-2025-24071漏洞。<\/p>

4. CVE-2025-24071漏洞利用<\/h2>

5. 横向移动<\/h2>

5.2 哈希爆破<\/h3>
对捕获的p.agila用户哈希进行爆破，成功获取密码：`prometheusx-303<\/code><\/p>`

6. 影子攻击与证书服务利用<\/h2>

6.1 寻找CA证书服务器<\/h3>
在域环境中定位证书服务<\/p>

6.2 检查winrm_svc用户的msDS-KeyCredentialLink属性<\/h3>
确认该属性存在，可用于影子攻击<\/p>

6.3 获取winrm_svc用户NTLM哈希<\/h3>
成功获取哈希：`33bd09dcd697600edf6b3a7af4875767<\/code><\/p>`

7.1 枚举可用证书模板<\/h3>
发现存在漏洞的证书模板<\/p>

7.2 执行ESC16攻击<\/h3>
利用证书服务漏洞获取管理员权限<\/p>

7.3 获取Administrator的NTLM哈希<\/h3>
成功获取管理员哈希<\/p>

HTB靶机Fluffy渗透测试报告<\/h1>

1. 初始信息收集<\/h2>

2. 初始访问尝试<\/h2>

2.2 SMB枚举<\/h3>

3. SMB深入利用<\/h2>

3.2 发现漏洞利用点<\/h3> 在IT目录中发现一个PDF文件，内容为IT部门升级公告，提到需要修复CVE-2025-24071漏洞。<\/p>

4. CVE-2025-24071漏洞利用<\/h2>

5. 横向移动<\/h2>

5.2 哈希爆破<\/h3> 对捕获的p.agila用户哈希进行爆破，成功获取密码：prometheusx-303<\/code><\/p>

6. 影子攻击与证书服务利用<\/h2>

6.1 寻找CA证书服务器<\/h3> 在域环境中定位证书服务<\/p>

6.2 检查winrm_svc用户的msDS-KeyCredentialLink属性<\/h3> 确认该属性存在，可用于影子攻击<\/p>

6.3 获取winrm_svc用户NTLM哈希<\/h3> 成功获取哈希：33bd09dcd697600edf6b3a7af4875767<\/code><\/p>

7.1 枚举可用证书模板<\/h3> 发现存在漏洞的证书模板<\/p>

7.2 执行ESC16攻击<\/h3> 利用证书服务漏洞获取管理员权限<\/p>

7.3 获取Administrator的NTLM哈希<\/h3> 成功获取管理员哈希<\/p>

3.2 发现漏洞利用点<\/h3>
在IT目录中发现一个PDF文件，内容为IT部门升级公告，提到需要修复CVE-2025-24071漏洞。<\/p>

5.2 哈希爆破<\/h3>
对捕获的p.agila用户哈希进行爆破，成功获取密码：`prometheusx-303<\/code><\/p>`

6.1 寻找CA证书服务器<\/h3>
在域环境中定位证书服务<\/p>

6.2 检查winrm_svc用户的msDS-KeyCredentialLink属性<\/h3>
确认该属性存在，可用于影子攻击<\/p>

6.3 获取winrm_svc用户NTLM哈希<\/h3>
成功获取哈希：`33bd09dcd697600edf6b3a7af4875767<\/code><\/p>`

7.1 枚举可用证书模板<\/h3>
发现存在漏洞的证书模板<\/p>

7.2 执行ESC16攻击<\/h3>
利用证书服务漏洞获取管理员权限<\/p>

7.3 获取Administrator的NTLM哈希<\/h3>
成功获取管理员哈希<\/p>