HackMD - Collaborative Markdown Knowledge Base

![Отчет по практическим занятим Афонасов М.А.!](https://i.imgur.com/FUurJNR.jpg) ## Модуль Windows Basic (Windows PTstart Апрель 2022) ### Практика 0 #### Oracle Virtualbox установлен ![Oracle Virtualbox установлен](https://i.imgur.com/tPYkmbC.jpg) #### Oracle Virtualbox extentions установлены ![Oracle Virtualbox extentions установлены](https://i.imgur.com/7MaLBlU.jpg) #### Windows Server 2016-1 (английская версия) установлен ![Windows Server 2016-1 (английская версия) установлен](https://i.imgur.com/c2qGWxI.jpg) #### Windows Server 2016-2 (русская версия) установлен ![Windows Server 2016-2 (русская версия) установлена](https://i.imgur.com/HOSenjC.jpg) #### Windows 10 установлен ![Windows 10 установлен](https://i.imgur.com/o1UykvT.jpg) #### На Mikrotik настроен сетевой адаптер локальной и NAT ![На Mikrotik настроен сетевой адаптер локальной сети и настроен NAT](https://i.imgur.com/xOhY0BV.jpg) ### Практика 1 #### Статические адреса настроены на двух WinServer ![Статические адреса настроены на двух WinServer](https://i.imgur.com/EvFFky4.jpg) ![Статические адреса настроены на двух WinServer](https://i.imgur.com/zPmU1b2.jpg) #### Имена компьютеров Winserver и Win10 настроены (dc1, dc2, pc1) ![Имена компьютеров Winserver и Win10 настроены (dc1)](https://i.imgur.com/jyLoqdY.jpg) ![Имена компьютеров Winserver и Win10 настроены (dc2)](https://i.imgur.com/ZAXHNtN.jpg) ![Имена компьютеров Winserver и Win10 настроены (pc1)](https://i.imgur.com/o1UykvT.jpg) ### Практика 2 #### На оба WinServer установлены роли AD, DHCP, DNS ![роли AD, DHCP, DNS win16-1](https://i.imgur.com/SMvm44c.jpg) ![роли AD, DHCP, DNS win16-2](https://i.imgur.com/AX4Tut5.jpg) #### Первый WinServer сконфигурирован как основной контроллер домена pt.local ![Первый WinServer сконфигурирован как основной контроллер домена pt.local](https://i.imgur.com/Vx59CVU.jpg) #### Второй WinServer сконфигурирован как второстепенный контроллер домена ![Второй WinServer сконфигурирован как второстепенный контроллер домена](https://i.imgur.com/LnwgRRN.jpg) #### Win10 внесён в домен ![Win10 внесён в домен](https://i.imgur.com/hJQBaD9.jpg) #### Применён скрипт newadusergroups.ps1 (созданы OU, пользователи и группы) ![Применён скрипт newadusergroups.ps1 (созданы OU, пользователи и группы)](https://i.imgur.com/4sgkEhF.jpg) ### Практика 3 #### Сделан дамп процесса lsass.exe на win10 ![Сделан дамп процесса lsass.exe на win10)](https://i.imgur.com/rKHQ1qU.jpg) #### Дамп передан на kali ![Дамп передан на kali)](https://i.imgur.com/2KC143J.jpg) #### Дамп проанализирован с помощью pypykatz ![Дамп передан на kali)](https://i.imgur.com/etWHgek.jpg) ### Практика 4 #### Настроены DNS forwarders ![Настроены DNS forwarders)](https://i.imgur.com/v4XOJCt.jpg) #### Сконфигурирована зона обратного просмотра ![Сконфигурирована зона обратного просмотра](https://i.imgur.com/y8ldjV7.jpg) #### DHCP сервер сконфигурирован на одном из контроллеров домена ![DHCP сервер сконфигурирован на одном из контроллеров домена](https://i.imgur.com/gsyV3pa.jpg) #### DHCP сконфигурирован на другом dc в отказоустойчивый режим ![DHCP сконфигурирован на другом dc в отказоустойчивый режим](https://i.imgur.com/UnkLF9K.jpg) #### Созданы групповые политики, как на уроке ![audit](https://i.imgur.com/aXADPdp.jpg) ![DDCP](https://i.imgur.com/9LGWlZ1.jpg) ![DDP](https://i.imgur.com/2TvUtCb.jpg) ![mimikatz](https://i.imgur.com/JvM1170.jpg) #### Приминение политики на OU ![OU](https://i.imgur.com/TLSyCLV.jpg) ### Практика 5 #### Созданы и сконфигурированы с помощью DFS сетевые папки для каждого отдела на одном из контроллеров домена ![Созданы и сконфигурированы с помощью DFS сетевые папки](https://i.imgur.com/T3rGgDb.jpg) #### К сетевой папке примены настройки аудита удаления файлов ![К сетевой папке примены настройки аудита удаления файлов](https://i.imgur.com/IRRZBtl.jpg) #### Пользователь Win10 удалил вложенные файлы и папки из сетевой папки. В журнале событий найдены события удаления ![Cобытия удаления 56](https://i.imgur.com/8d1xpGG.jpg) ![Cобытия удаления 63](https://i.imgur.com/OMc5N3j.jpg) ![Cобытия удаления 60](https://i.imgur.com/ezMhSJD.jpg) #### Сконфигурирован логколлектор ![Правило для WinRM](https://i.imgur.com/XnqcUds.jpg) ![Группа для логов](https://i.imgur.com/QbVXEU7.jpg) ![Политика](https://i.imgur.com/sT2q4Mq.jpg) ![Подписка](https://i.imgur.com/GFCsEoX.jpg) ![Статус](https://i.imgur.com/QxLPDSY.jpg) ![Работа коллектора](https://i.imgur.com/DuJ0Nel.jpg) ### Практика 6 #### Проведён бэкап файла NTDS ![Проведён бэкап файла NTDS](https://i.imgur.com/SCC8mGy.jpg) #### Бэкап перекинут на Kali linux ![Бэкап перекинут на Kali linux](https://i.imgur.com/14xakIP.jpg) #### Просмотрено содержимое файла с помощью secretdump ![Просмотрено содержимое файла с помощью secretdump](https://i.imgur.com/sqFLPSX.jpg) #### С помощью mitm6 перехвачена аутентификация пользователя домена ![IP до](https://i.imgur.com/dvErtsD.jpg) ![Подменный DNS и запуск FAKE SMB](https://i.imgur.com/0UUrTU2.jpg) ![Вход c АРМ на FAKE-SMB и перехват ХЭШ учетных данных пользователя](https://i.imgur.com/uhdGqkA.jpg) #### Проведена атака zerologon ![Произведен сброс УЗ пользователя и получили DUMP NTDS](https://i.imgur.com/BojIKjL.jpg) #### Просмотрено содержимое файла NTDS удалённо ![Просмотрено содержимое файла NTDS удалённо](https://i.imgur.com/g2SxYnP.jpg) #### Удаенно просмотрены политики безопасности ![удаленно просмотр gpresult](https://i.imgur.com/bdQ6M0u.jpg) #### Найдены события, подтверждающие факт компрометации домена ![Факт 1 ошибка NETLOGON](https://i.imgur.com/rbs11PO.jpg) ![Факт 2 ошибка 4742](https://i.imgur.com/0hw998i.jpg) ![Факт 3 заполненное поле last set](https://i.imgur.com/g6d94iK.jpg) ![Факт 3 событие 5823](https://i.imgur.com/wAYFnd0.jpg) ---