Windows OS. Практическая работа №6

# Windows OS. Практическая работа №6 ## Задание к практической работе 6.1: ### 1) Провести анализ базы NTDS ![](https://i.imgur.com/FQtZHTl.png) Сделаем бэкап: ![](https://i.imgur.com/29d1COu.png) Передадим файл: ![](https://i.imgur.com/wBsa0ev.png) ![](https://i.imgur.com/Rb48fUs.png) Качаем импакет: ![](https://i.imgur.com/bwakzJW.png) Проверяем, что скачалось, загружаем python3-pip (но он уже есть в новейшей версии): ![](https://i.imgur.com/PJgHswA.png) ![](https://i.imgur.com/SYvxJc6.png) ![](https://i.imgur.com/LFSoQVx.png) Анализ: ![](https://i.imgur.com/MfvuvMH.png) ![](https://i.imgur.com/gqb2sPa.png) ### 2) Выполнить атаку “Path-the-hash” **Crackmapexec** Пс1 выключен: ![](https://i.imgur.com/A44GzVR.png) Включили пс1: ![](https://i.imgur.com/GH2O7Uo.png) Зайдём на сервер от имени админа: ![](https://i.imgur.com/bkXIF2f.png) **XFreeRDP** Включим удалённый доступ по RDP на dc1 ![](https://i.imgur.com/Qs2rhfQ.png) Нас не пускает из-за политики restricted admin: ![](https://i.imgur.com/jAN0ZZQ.png) Отключаем: ![](https://i.imgur.com/lBq9i23.png) Получилось: ![](https://i.imgur.com/innexgG.png) ![](https://i.imgur.com/PEc6bja.png) ### 3) Реализовать атаки на базовые протоколы Windows **Анализ инфраструктуры через responder** Запускаем анализ Responder ![](https://i.imgur.com/Zt6jpHN.png) На вин10 пытались перейти в \\QUE.local, на кали отобразилось: ![](https://i.imgur.com/pUBferb.png) Переходим в режим атаки: ![](https://i.imgur.com/tfKhddL.png) Лида опять перешла "в никуда", но теперь "никуда" - это наша кали, поэтому она получила аутентификационный токен Лиды: ![](https://i.imgur.com/NsH1p3j.png) **mitm6** Устанавливаем его: ![](https://i.imgur.com/w1Vsl9l.png) Начинаем атаку. Притворимся DHCP серверов, который раздаёт ipv6: ![](https://i.imgur.com/gLn7ZWA.png) В результате у вин10 радостно получила крутой и бесплатный ipv6 без смс и регистрации: ![](https://i.imgur.com/alGsFrc.png) А теперь создадим SMB сервер и попробуем зайти через вин10: ![](https://i.imgur.com/kANrwQ3.png) А вот собственно и наши данные. Бедная Лидия, в этом месяце точно без премии: ![](https://i.imgur.com/e2GWh4g.png) Просто ради интереса давайте изменим название файла, чтобы он не был таким подозрительным: ![](https://i.imgur.com/9NDUbcA.png) ![](https://i.imgur.com/Y9ZI4cI.png) ## Задание к практической работе 6.2: ### 1) Провести эксплуатацию уязвимостей контроллера домена Настроим политику: ![](https://i.imgur.com/TLoyzHh.png) ![](https://i.imgur.com/vlsuqge.png) Обновим политику ![](https://i.imgur.com/AZ2CgtT.png) Сделаем снэпшот ![](https://i.imgur.com/c2Alqky.png) Скачаем зерологон ![](https://i.imgur.com/lahJPBn.png) Волнительно запускаем зерологон: ![](https://i.imgur.com/dw3qwZ1.png) Получаем хэши: ![](https://i.imgur.com/U8QRain.png) Попробуем выполнить некотрые команды от имени админа Игоря: ![Uploading file..._4e3cd4rji]() ### 2) Найти следы эксплуатации уязвимостей Найдём атаку: ![](https://i.imgur.com/IRrP5Cv.png) ![](https://i.imgur.com/z9D3VhG.png) Раньше такое тоже было, на том мы знали, что это админ: ![](https://i.imgur.com/TWusKEY.png) Когда зафиксирована была смена пароля: ![](https://i.imgur.com/i5XWK8e.png) На скрине выше есть только события от 18 августа, которые соответствуют этим: ![](https://i.imgur.com/tq770np.png) Но для 22 августа лога нет. То есть "пользователь поменял пароль", но события нет Также появились другие ошибки ![](https://i.imgur.com/wiY6eiI.png)