Отчет по выполнению Занятия 6. Базовые атаки и компрометация доменной Windows-инфраструктуры.

# Отчет по выполнению Занятия 6. Базовые атаки и компрометация доменной Windows-инфраструктуры. ## Практическая работа 6. ## Задание к практической работе 6.1: 1) Провести анализ базы NTDS: **1.1) Создадим бэкап NTDS:** ![NTDS backup1](https://i.imgur.com/EzJtkTI.png) Проверим, что бэкап создался: ![NTDS backup2](https://i.imgur.com/bArz8M1.png) **1.2) С помощью SMB зайдём на сервер DC1 с Kali:** ![SMB_kali1](https://i.imgur.com/64K0Ntg.png) ![SMB_kali2](https://i.imgur.com/hSPafJx.png) **1.3) Для анализа дампа для начала нужно скачать impacket:** ![impacket1](https://i.imgur.com/xB8E0G9.png) ![impacket2](https://i.imgur.com/cPIrQx6.png) ![impacket13](https://i.imgur.com/H5ojKtN.png) ![impacket14](https://i.imgur.com/QYJrvhq.png) 2) Выполнить атаку “Path-the-hash”: **2.1) Crackmapexec:** ![kali 2.1](https://i.imgur.com/qcwBt06.png) ![kali 2.1](https://i.imgur.com/O7s8zWD.png) ![kali 2.1](https://i.imgur.com/n2BaTj4.png) **2.2) Smbexec:** ![kali 2.2](https://i.imgur.com/C3VvHFh.png) ![kali 2.2](https://i.imgur.com/otQerbk.png) **2.3) XFreeRDP:** ![dc1 2.3](https://i.imgur.com/VhV5DXe.png) ![kali 2.3](https://i.imgur.com/sOItXyx.png) ![kali 2.3](https://i.imgur.com/Egsr2of.png) Запуск XFreeRDP: ![start](https://i.imgur.com/szreMF1.png) ... .... ... ... ... ... ... ... ... ... ... ... ... ... ![end](https://i.imgur.com/K90U7gz.png) ![kali 2.3](https://i.imgur.com/WIShdAN.png) 3) Реализовать атаки на базовые протоколы Windows: **3.1) Анализ инфраструктуры через responder:** ![responder1](https://i.imgur.com/2qF3Yhm.png) Залогинимся под УЗ Ольги: ![olga](https://i.imgur.com/6gG7oYP.png) Проверим существование несуществующего сетевого адреса: ![fake address](https://i.imgur.com/nV2U53d.png) Получаем данные в responder (почему-то с pt.network не приходили логи в responder, поэтому взял pt-file, как было в пособии): ![responder data](https://i.imgur.com/CvNBaUQ.png) Для доступа к pt-file запрашиваются логин и пароль пользователя, ввдем их: ![enter login/pass](https://i.imgur.com/Smx8jNO.png) Получаем токены в responder: ![get tokens](https://i.imgur.com/KC6cf30.png) 3.2) **Проведем атаку mitm6:** Установим пакет mitm6: ![mitm6 install](https://i.imgur.com/igK9ZNY.png) Проверим ipconfig на атакуемой машине (pc1): ![before mitm](https://i.imgur.com/VpWiv9Z.png) Начнем атаку mitm6: ![start mitm](https://i.imgur.com/7BHTy5x.png) Сновап проверим ipconfig на атакуемой машине (pc1): ![during mitm](https://i.imgur.com/6RFv3B9.png) Теперь kali в роли dns-сервера. 3.3) **Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер:** Запустим smb-сервер: ![smb1](https://i.imgur.com/Zxvz90H.png) Создалась сетевая папка в домене pt.local, но контролирует его kali (т.к. kali - dns-сервер): ![smb2](https://i.imgur.com/FtC6smN.png) Получаем токен пользователя: ![smb3](https://i.imgur.com/pnQB5ob.png) ## Задание к практической работе 6.2: 1) Провести эксплуатацию уязвимостей контроллера домена: **1.1) Активируем политику аудита машинных учетных записей и применим к контроллерам домена:** ![](https://i.imgur.com/xElj9Kl.png) ![](https://i.imgur.com/esLyEUU.png) ![](https://i.imgur.com/b4metaR.png) **1.2) Эксплуатация уязвимостей контроллера домена:** Сначала создадим снапшоты машин до применения zerologon: ![](https://i.imgur.com/sgzUpN8.png) Склонируем эксплойт: ![](https://i.imgur.com/2tX0GOs.png) Изучим инструкцию по применению: ![](https://i.imgur.com/WQd11KS.png) Запустим эксплойт: ![](https://i.imgur.com/dz1ye9F.png) На скриншоте выше видно, что эксплойт отработал успешно. Используя следующую команду можно получить хеши учетных данных => можно выполнять команды от любого пользователя (я как мог пытался исправить ошибку, но результат не поменялся, поэтому ниже приложу скриншот работы команды, взятый из методического материала): ![](https://i.imgur.com/F2DQ4er.png) ![](https://i.imgur.com/32H0MpM.png) 2) Найти следы эксплуатации уязвимостей: **2.1) В EventViewer будем искать логи о проделанным нами атаках (поиск будет осуществляться как визуально, так и с помощью фильтров):** Проверим журнал System, увидим ошибку Netlogon: ![](https://i.imgur.com/WZr4osE.png) Проверим Security, увидим событие 4742 (ANONYMOUS LOGON + password last set -- это значит, что пароль был изменён, но его может менять только NETWORK SERVICE с id=5823): ![](https://i.imgur.com/Z1jusJo.png) Найдём событие 5823 в журнале System с помощью фильтра (это легитимное событие, связанное с введением в домен dc2): ![](https://i.imgur.com/di4I3qH.png) Дополнительно: Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service: ![](https://i.imgur.com/5WXehxm.png)