# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры *** # Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру. *** ## Часть 1. Базовые атаки на инфраструктуру Windows ### 1.1 Бэкап NTDS  ***Рисунок 1 - Создание дампа ntds*** ### 1.2 Перенос NTDS  ***Рисунок 2 - Скачивание дампа на Kali Linux*** ### 1.3 Анализ NTDS  ***Рисунок 3 - Содержание дампа*** ## Часть 2. Path-the-hash ### 2.1 Crackmapexec  ***Рисунок 4 - Обнаружение хостов***  ***Рисунок 5 - Запуск командной строки на контроллере домена с использованием хеша администратора*** ### 2.2 XFreeRDP  ***Рисунок 6 - Подключение по RDP с использованием хеша учетной записи администратора*** ## Часть 3. Атаки на базовые протоколы Windows ### Анализ инфраструктуры через responder  ***Рисунок 7 - Параметры запуска responder***  ***Рисунок 8 - Окно ввода учетных данных устройства pc1 при обращении к несуществующему ресурсу***  ***Рисунок 9 - Получение данных пользователя Yana*** ### mitm6  ***Рисунок 10 - Использование mitm6***  ***Рисунок 11 - Сетевые параметры устройства pc1***  ***Рисунок 12 - Захваченные данные пользователя Yana*** # Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры. # Часть 1. Применение политики аудита  ***Рисунок 13 - Активация политики аудита машинных учетных записей*** # Часть 2. Эксплуатация уязвимостей контроллера домена  ***Рисунок 14 - Применение эксплойта Zerologon***  ***Рисунок 15 - Выгрузка дампа*** # Часть 3. Поиск следов эксплуатации уязвимостей  ***Рисунок 16 - Событие 5805: ошибка авторизации***  ***Рисунок 17 - События 4742: изменение машинной учетной записи из-под анонимной учетной записи***  ***Рисунок 18 - Событие 5823: изменение машинной учетной записи из журнала system***  ***Рисунок 19 - События выгрузки дампа***