# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру ### Часть 1. Базовые атаки на инфраструктуру Windows ### Этап 1. Анализ базы NTDS ### 1.1 Бэкап NTDS Воспользуемся базовыми средствами Windows для работы с NTDS: ![](https://i.imgur.com/sSVZ5wr.png) После этого в директории C:\temp мы увидим созданые файлы дампа: ![](https://i.imgur.com/pIl6EtS.png) ### 1.2 Перенос NTDS С помощью SMB зайдём на сервер Win с Kali: ![](https://i.imgur.com/3rueW0N.png) ### 1.3 Анализ NTDS Для анализа дампа скачаем impacket: ![](https://i.imgur.com/b4BNYWJ.png) После установки перейдем к локальному анализу NTDS: ![](https://i.imgur.com/Iitumor.png) ### Этап 2. Path-the-hash Для выполнения атаки вида PtH нам понадобится учетная запись и её хэш пароля. ### 2.1 Crackmapexec Быстрое сканирование сети и обнаружение хостов, как либо взаимодействующих с протоколом smb: ![](https://i.imgur.com/jSu9EVZ.png) В результате сканирования мы обнаружили устройство в сети- наш контроллер домена dc1. Запуск cmd windows для удаленной передачи команд: Ранее инструментом impacket мы получили хэши всех пользователей в домене. Вот, например, хэш администратора: ![](https://i.imgur.com/eMl0Gm6.png) Воспользуемся им и запустим cmd windows от имени администратора: ![](https://i.imgur.com/oxiFcu1.png) ### 2.2 XFreeRDP С хешем можно зайти даже по протоколу удалённого рабочего стола RDP. Для начала включим удалённый доступ по RDP на dc1, доступ дадим администраторам домена: ![](https://i.imgur.com/P1eV2pO.png) ![](https://i.imgur.com/3ZOO8Bk.png) Попробуем зайти на dc1: ![](https://i.imgur.com/MTLNnYc.png) Подключение неудачное: ![](https://i.imgur.com/JzxpQLn.png) Изменим параметр реестра на dc1: ![](https://i.imgur.com/gyMObwk.png) Можно увидеть выполнение этой команды: После чего xfreerdp спокойно пускает нас с помощью хеша: ![](https://i.imgur.com/lYrnQUL.png) ### Этап 3. Атаки на базовые протоколы Windows ### NBT-NS & LLMNR & mDNS Запускаем анализ Respondeк в режиме анализа интерфейса eth0: ![](https://i.imgur.com/5WppNME.png) Доменный ПК пытается обратиться к несуществующему сетевому ресурсу: ![](https://i.imgur.com/KpsdJ06.png) Анализатор видит LLNMR, NBNS запросы: ![](https://i.imgur.com/yJKZDWO.png) Режим атаки: ![](https://i.imgur.com/GfNQZt2.png) Пользователь снова проходит по несуществующему пути: ![](https://i.imgur.com/RqTqyZw.png) Responder перехватывает аутентификационный токен: ![](https://i.imgur.com/9ySatE1.png) ### mitm6 Установим mitm6: ![](https://i.imgur.com/n6C1bY7.png) Выполнение атаки: ![](https://i.imgur.com/lx5x7Cz.png) Настройки сетевого адаптера pc1 до атаки: ![](https://i.imgur.com/ypFnasQ.png) После: ![](https://i.imgur.com/qzjjhQo.png) Создадим SMB сервер: ![](https://i.imgur.com/YytDp4g.png) А на Win10 через проводник попробуем зайти на наш домен: ![](https://i.imgur.com/w3zJmbw.png) Увидим данные аутентификации в выводе программы: ![](https://i.imgur.com/GnnhiQ1.png) ### Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры Акивируем политику аудита машинных учетных записей и применить к контроллерам домена: ![](https://i.imgur.com/wK8rki0.png) ### Часть 2. Эксплуатация уязвимостей контроллера домена Скачаем репозиторий по уязвимости zerologon: ![](https://i.imgur.com/ZlIkWg3.png) Перейдем в скачанную папку и прочитаем README: ![](https://i.imgur.com/GIBzT2n.png) ![](https://i.imgur.com/ZJJNSNO.png) Скрипт обнулил пароль машинной учетной записи контроллера домена. ![](https://i.imgur.com/as911ZW.png) С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя: ![](https://i.imgur.com/nMd3bvV.png) ### Часть 3. Поиск следов эксплуатации уязвимостей Проверим журнал System: ![](https://i.imgur.com/V8ay2k7.png) Видим ошибку NETLOGON. Проверим Security, увидим событие 4742: ![](https://i.imgur.com/bFdrk2f.png) Внимательно проанализируем событие: ![](https://i.imgur.com/2ZXsr0O.png) Найдём событие 5823 в журнале System с помощью фильтра: ![](https://i.imgur.com/gT8Chag.png)