--- tags: Windows Basic --- # Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру ### Часть 1. Базовые атаки на инфраструктуру Windows #### Этап 1. Анализ базы NTDS ##### 1.1 Бэкап NTDS * Произвели бэкап NTDS  * Он лежит в папке temp  ##### 1.2 Перенос NTDS * Перенесли NTDS в Kali Linux  ##### 1.3 Анализ NTDS * Скачали impacket и python3-pip  * Получили хэши пользователей и машинных учетных записей  #### Этап 2. Pass-the-hash ##### 2.1 Crackmapexec * Зашли под пользователем, используя хэш  ##### 2.2 XFreeRDP * Разрешили доступ по RDP  * Пробуем зайти на dc1  * Действует политика restricted admin  * Изменим параметр реестра на dc1  * В журнале зафиксированы изменения  * После чего xfreerdp спокойно пускает нас с помощью хеша  #### Этап 3. Атаки на базовые протоколы Windows ##### Анализ инфраструктуры через responder * Запускаем анализ Responder  * После обращения доменного ПК к несуществующим ресурсам видим LLNMR, NBNS запросы  * Запускаем Responder в режиме атаки  * Responder притворяется этим ресурсом, поэтому видим окно аутентификации  * Responder перехватывает аутентификационный токен  ##### mitm6 * Установили mitm6  * Настройки PC1 до  * Начало атаки  * Настройки PC1 после  * Создание своего сервера SMB  * На Win10 через проводник попробуем зайти на наш домен  * Увидим данные аутентификации в выводе программы  ## Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры * Активировали политику аудита машинных учетных записей и применили к контроллерам домена  ### Часть 2. Эксплуатация уязвимостей контроллера домена * Скачали zerologon  * Запустим скрипт для обнуления пароля  * Скриптом secretsdump получили NTLM-хеши  * С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя  ### Часть 3. Поиск следов эксплуатации уязвимостей * Проверим журнал System, увидим ошибку Netlogon  * Проверим Security, увидим событие 4742  * Найдём событие 5823 в журнале System (оно произошло раньше)  * Также можно увидеть данные выгрузки NTDS  ### Дополнительно Следы эксплуатации Zerologon (CVE-2020-1472) можно обнаружить в трафике. * Во время работы скрипта при занулении пароля  * Генерируется большое количество запросов по протоколу RPC_NETLOGON и значением (Info) – NetrServerAuthenticate3 request/response. Это указывает на то, что запросы направлены на аутентификацию, на которые сервер многократно отвечает сообщением «Status_Access_Denied»  * Отобразив содержание пакета, можно обнаружить каждый раз отправляются пакеты с нулевыми данными (Client Credential) – 000000000000000  * Спустя несколько попыток аутентификации сервер отправляет ответ (NetrServerAuthenticate3 response). Ответ сервера на этот раз положительный (Return code: STATUS_SUCCESS). * Далее последовательно возникают следующие 2 события: 1. NetrServerPasswordSet2 request – Запрос на изменение пароля машинной учетной записи контроллера домена; 2. NetrServerPasswordSet2 response – Ответ сервера об успешном изменении пароля.  * При выгрузке хэшей пользователей видим большое количество функций DsGetNCCnanges request/response; DsCrackNames request/response.