HTB: LustrousTwo

Box Info

侦察阶段

初始扫描

nmap发现24个开放TCP端口，包括典型的Windows域控制器服务：

• FTP (21) - 允许匿名登录
• HTTP (80) - 需要Kerberos认证
• Kerberos (88)
• SMB (445)
• LDAP (389/636)

网站分析(TCP 80)

网站使用IIS 10.0，配置了Kerberos认证（WWW-Authenticate: Negotiate）。未认证访问返回401错误。

SMB分析(TCP 445)

SMB服务要求签名，不支持NTLM认证，仅允许Kerberos认证。

FTP分析(TCP 21)

匿名登录成功，发现多个目录：

• Development、HR、IT、Production、SEC目录为空
• ITSEC目录包含audit_draft.txt文件
• Homes目录包含71个用户文件夹

Kerberos用户枚举

使用kerbrute验证FTP中发现的所有71个用户名均为有效域用户。

获取ShareSvc权限

密码喷洒

使用kerbrute进行密码喷洒，发现Thomas.Myers用户密码为"Lustrous2024"。

Bloodhound数据收集

使用BloodHound.py收集域信息，但未发现明显的特权提升路径。

网站访问配置

配置Kerberos认证后，使用curl和Firefox成功访问需要认证的网站。

权限提升至ShareSvc

目录遍历漏洞

发现File/Download端点存在目录遍历漏洞，可读取系统文件：

1

curl --negotiate -u : http://lus2dc.lustrous2.vl/File/Download?fileName=../../../../windows/system32/drivers/etc/hosts

NetNTLMv2哈希捕获

通过目录遍历触发SMB连接至攻击者控制的共享，捕获ShareSvc用户的NetNTLMv2哈希。

哈希破解

使用hashcat破解哈希，获得ShareSvc密码："#1Service"。

获取Shell权限

Web应用分析

通过目录遍历下载LuShare.dll文件，使用DotPeek进行逆向工程分析，发现：

• Upload功能限制于ShareAdmins组
• Debug功能允许PowerShell命令执行（PIN码：ba45c518）

权限模拟

使用getST.py模拟Ryan.Davies用户获取网站访问权限，访问受限功能。

反向Shell

通过Debug功能上传nc64.exe并执行，获得ShareSvc用户的PowerShell shell。

系统权限提升

环境枚举

发现Velociraptor数字取证工具已安装，包含服务器和客户端组件。

Velociraptor API滥用

利用服务器配置文件生成API客户端配置，通过execve插件执行系统命令：

1

.\velociraptor.exe --api_config api.config.yaml query "SELECT * FROM execve(argv=['powershell','-c','whoami'])"

系统Shell获取

通过Velociraptor执行nc64.exe获得SYSTEM权限的shell，成功读取root.txt标志。

技术要点总结

1. Kerberos认证绕过：通过FTP匿名访问获取用户列表
2. 密码喷洒攻击：利用弱密码策略获得初始访问权限
3. 目录遍历漏洞：读取Web应用配置和源代码
4. 服务账户滥用：通过NetNTLMv2攻击获取服务账户凭证
5. 权限模拟攻击：利用Kerberos S4U2self扩展获取特权访问
6. 配置漏洞利用：Velociraptor服务器配置不当导致系统权限提升

该靶机展示了Windows域环境中常见的安全问题组合，包括弱密码、配置错误、权限提升路径等关键攻击面。