Задание 6

# Задание 6 ## Задание 6.1 - Активируем процесс Install From Media ![](https://i.imgur.com/l9koKOE.png) - Скопируем файлы на Kali Linux ![](https://i.imgur.com/NH6i3pp.png) - Проанализиурем дамп ![](https://i.imgur.com/PwDKcxh.png) - Выполним команды от имени пользователя на удаленной машине посредством командной строки ![](https://i.imgur.com/eAf6GNr.png) - Посмотрим список сетевых папок, доступных конкретному пользователю ![](https://i.imgur.com/gS5LibT.png) - Запустим cmd windows для удаленной передачи команд, при этом практически не оставляя следов ![](https://i.imgur.com/XnwUBKL.png) - С хешем можно зайти даже по RDP. Попробуем зайти на dc1 ![](https://i.imgur.com/s6wjqjm.png) - Изменим параметр реестра на dc1 и попробуем зайти еще раз ![](https://i.imgur.com/xVhzJR2.png) - Запускаем анализ Responder ![](https://i.imgur.com/n7YM1gR.png) - Видим LLNMR, NBNS запросы ![](https://i.imgur.com/UdYKfIb.png) - Пользователь проходит по несуществующему пути. Responder перехватывает аутентификационный токен ![](https://i.imgur.com/irYeEo7.png) ## Задание 6.2 - Активируем политику аудита машинных учетных записей и применить к контроллерам домена ![](https://i.imgur.com/LKC3UdN.png) - Получим хэши пользователей ![](https://i.imgur.com/MjmyW9Q.png) - Выполним с помощью полученных хешей учетных данных команды от любого пользователя ![](https://i.imgur.com/d0gq7hj.png) - Проверим журнал System, увидим ошибку Netlogon ![](https://i.imgur.com/Re5i4Kn.png) - Проверим Security, увидим событие 4742. Проанализируем его ![](https://i.imgur.com/AmlaJCV.png) ![](https://i.imgur.com/UtzRiB5.png) - Найдём событие 5823 в журнале System с помощью фильтра. Событие есть, но оно произошло намного раньше ![](https://i.imgur.com/jygmIsE.png)