# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры # ***Практика №6.1 Базовые атаки на Windows-инфраструктуру.*** **Этап 1. Анализ базы NTDS** *1.1 Бэкап NTDS* ![](https://i.imgur.com/9cYO0hW.png) С помощью стандартных средств Windows для работы с NTDS создадим копию нашего NTDS с необходимыми ветками реестра *1.2 Перенос NTDS* ![](https://i.imgur.com/ZXRS60S.png) Пересылка нашей копии NTDS по протоколу SMB с сервера dc1-en на Kali Linux *1.3 Анализ NTDS* ![](https://i.imgur.com/OC4LxDn.png) Устанавливаем impacket Выполняем скрипт, который проанализирует дамп и выдаст информацию о структуре базы аутентификационых данных для объектов домена **Этап 2. Path-the-hash** *2.1 Crackmapexec* ![](https://i.imgur.com/apa7yY6.png) Пример использовани Crackmapexec для запуска cmd на удаленном компьютере *2.2 XFreeRDP* ![](https://i.imgur.com/naeLU15.png) Даем возможность удаленного доступа для пользователей из группы Domain Admins ![](https://i.imgur.com/0Cj433P.png) Попытка входа по RDP на сервер dc1-en - ошибка Политика ограничения запрещает использовать RDP на сервере ![](https://i.imgur.com/kv1Vj5e.png) Выключаем политику и пробуем подключится по RDP снова ![](https://i.imgur.com/ZJjSwjc.png) Успешная попытка подключения по RDP к серверу dc1-en из под Kali Linux ![](https://i.imgur.com/gsDQrXP.png) Т.к. включена политика аудита PowerShell, то в журнале безопасности отобразится соответсвующая нашей команде запись **Этап 3. Атаки на базовые протоколы Windows** *3.1 Responder* ![](https://i.imgur.com/76a5BQU.png) Запускаем Responder ![](https://i.imgur.com/eiwmnIV.png) Специально заходим на несуществующий сетевой ресурс, чтобы протестировать работу Responder ![](https://i.imgur.com/DYj5hPX.png) Responder видит LLNMR и NBNS запросы *Режим атаки* ![](https://i.imgur.com/GnIoJm1.png) Запускаем Responder с параметром отправления WPAD и попыткой принудительного понижения протокола аутентификации ![](https://i.imgur.com/DoMBKl4.png) Снова пытаемся подключится по несуществующему сетевому пути Responder притворяется данным ресурсом ![](https://i.imgur.com/1Dej2nC.png) Responder перехватывает аутентификационный токен *3.2 mitm6* ![](https://i.imgur.com/ru6bGmI.png) Атака имитирует DHCPv6 сервер, поэтому проверяем исходные параметры сети в Win10pro-ru *Режим атаки* ![](https://i.imgur.com/RdSho8E.png) Запускаем команду для атаки на выбранный домен ![](https://i.imgur.com/wjPPop0.png) В результате атаки DHCPv6 адрес изменился, обеспечив mitm Чтобы атака прошла незаметно для пользователя, нужно прикинуться ресурсом, который требует аутентификацию ![](https://i.imgur.com/j4FGZGH.png) Например, создадим ложный сервер SMB (не отключая mitm6) ![](https://i.imgur.com/dEPaAVX.png) Проверяем наличие созданной ложной папки - успешно ![](https://i.imgur.com/Byt5PNV.png) Украденные данные аутентификации в выводе программы # ***Практика №6.2 Компрометация доменной Windows-инфраструктуры*** **Часть 1. Подготовка** ![](https://i.imgur.com/W2taNLp.png) Активируем политику аудита машинных учетных записей и применим к КД **Часть 2. Эксплуатация уязвимостей контроллера домена** ![](https://i.imgur.com/Dc3FxLC.png) Скачиваем скрипт для эксплуатации уязвимости ([github.com/dirkjanm](https://github.com/dirkjanm/CVE-2020-1472)) Запускаем скрипт для атаки на нужный нам сервер dc1-en - успешная атака ![](https://i.imgur.com/0KvtMzY.png) Собираем дамп NTDS с помощью secretdump (часть impacket), в аргументе скрипта от dirkjanm можно использовать или хеш пустого пороля (нуля) или параметр -no-pass ![](https://i.imgur.com/mgyvuhe.png) Проверяем, что дамп актуальный, посылав SMB запрос - успех! **Часть 3. Поиск следов эксплуатации уязвимостей** ![](https://i.imgur.com/g1GFOxu.png) Проверим журнал System, увидим ошибку Netlogon // *Событие с идентификатором 4742 в журнале Security не появилось Возможно из-за другой структуры выполнения эксплойта* // ![](https://i.imgur.com/JQGtN0u.png) При дампе NTDS можно увидеть данные выгрузки в журнале Direcrory Service В моем случае на это указывает сообщение о приостановке теневого копирования NTDS