HTB Shibuya渗透测试：从Kerberos枚举到ADCS权限提升

初始侦察

端口扫描

Nmap扫描发现18个开放TCP端口，包括典型Windows域控制器端口（53、88、464等）以及SMB（445）、RDP（3389）和SSH（22）。域名为shibuya.vl，主机名为AWSJPDC0522.shibuya.vl。

SMB枚举

Netexec确认域信息，但未认证情况下无法列出共享。通过Kerberos暴力枚举发现两个机器账户red和purple，其密码设置为用户名。

权限提升

凭证获取

通过LDAP枚举发现svc_autojoin账户的密码存储在描述字段中（K5&A6Dw9d8jrKWhV）。该账户可访问images$共享，其中包含三个WIM镜像文件。

WIM镜像分析

使用7zip分析WIM文件，发现AWSJPWK0222-02.wim包含注册表配置单元文件（SAM、SECURITY、SYSTEM）。使用secretsdump提取哈希，获得多个用户NTLM哈希。

密码喷洒

对提取的哈希进行密码喷洒，发现Simon.Watson账户使用operator哈希认证成功。通过SMB访问用户共享，上传SSH公钥获取shell。

横向移动

Bloodhound分析

收集Bloodhound数据，发现nigel.mills用户当前存在活动会话。利用RemotePotato0进行跨会话中继攻击，获取nigel.mills的NetNTLMv2哈希并破解为"Sail2Boat3"。

ADCS漏洞利用

Certipy检测到SHIBUYAWEB证书模板存在ESC1漏洞。以nigel.mills身份请求_admin证书，使用该证书通过WinRM获取域管理员权限。

技术要点

• Kerberos预认证用于用户枚举
• WIM镜像中的注册表文件包含敏感哈希
• RemotePotato0利用DCOM激活服务进行NTLM中继
• ADCS ESC1漏洞允许任意用户身份证书请求

最终通过证书认证获得域管理员权限，完成整个渗透测试过程。