Практическая работа №6. Базовые атаки и компрометация доменной Windows-инфраструктуры

# Практическая работа №6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Задание: 1) Провести анализ базы NTDS 2) Выполнить атаку “Path-the-hash” 3) Реализовать атаки на базовые протоколы Windows 4) Провести эксплуатацию уязвимостей контроллера домена 5) Найти следы эксплуатации уязвимостей ## Решение: ### 1) Проведем анализ базы NTDS: Сделаем копию NTDS с необходимыми ветками реестра в директорию C:\temp (на dc1): ![](https://i.imgur.com/fxtqJ1l.png) Скопируем файлы на Kali: ![](https://i.imgur.com/RHm2AE7.png) ![](https://i.imgur.com/fhaIO3z.png) ![](https://i.imgur.com/n3rGYXR.png) Для анализа дампа скачаем impacket: ![](https://i.imgur.com/SG7k7rs.png) ![](https://i.imgur.com/TpuTtEu.png) ### 2) Выполним атаку “Path-the-hash”: Запустим утилиту smbexec, для удаленной передачи команд на cmd windows: ![](https://i.imgur.com/o27RHt5.png) Включим удалённый доступ по RDP на dc1: ![](https://i.imgur.com/lKmc5dB.png) Изменим параметр реестра на dc1: ![](https://i.imgur.com/VWPKagL.png) Попробуем зайти к admpetr: ![](https://i.imgur.com/vKvtp1W.png) После чего xfreerdp спокойно пускает нас с помощью хеша: ![](https://i.imgur.com/pRg7bfw.png) ### 3) Реализуем атаки на базовые протоколы Windows (NBT-NS & LLMNR & mDNS): Запустим анализ Responder, а на pc1 попытаемся обратиться к несуществующему сетевому ресурсу: ![](https://i.imgur.com/Ne0unRn.png) Анализатор видит LLNMR, NBNS запросы: ![](https://i.imgur.com/WQldx5J.png) Перейдем в режим атаки: ![](https://i.imgur.com/vShrh45.png) Responder притворяется этим ресурсом, поэтому видим окно аутентификации: ![](https://i.imgur.com/rYprfcQ.png) Responder перехватывает аутентификационный токен: ![](https://i.imgur.com/rRbULKA.png) Выполним атаку mitm6: ![](https://i.imgur.com/2ibeEF8.png) В результате настройки сетевого адаптера pc1 изменились: ![](https://i.imgur.com/EwnbbKV.png) Создадим свой сервер SMB, А на Win10 попробуем зайти на наш домен: ![](https://i.imgur.com/EPxNjLI.png) Увидим данные аутентификации в выводе программы: ![](https://i.imgur.com/3WQBiwa.png) ### 4) Проведем эксплуатацию уязвимостей контроллера домена: Активируем политику аудита машинных учетных записей и применим к контроллерам домена: ![](https://i.imgur.com/8I7o7ZZ.png) Скачаем zerologon: ![](https://i.imgur.com/33wae9J.png) Введем скрипт, чтобы обнулить пароль машинной учетной записи контроллера домена: ![](https://i.imgur.com/Krqleyu.png) Получим хеши учетных данных: ![](https://i.imgur.com/eg0Aah8.png) Теперь можем выполнять команды от любого пользователя: ![](https://i.imgur.com/tJ8dBLX.png) ### 5) Найдем следы эксплуатации уязвимостей: Проверим журнал System, увидим ошибку Netlogon: ![](https://i.imgur.com/2Kda4Nc.png) Проанализируем событие 4742: ![](https://i.imgur.com/9CdP3du.png) Событие 5823 всё же произошло раньше чем 4742: ![](https://i.imgur.com/BD5E5gX.png) Так же можно увидеть данные выгрузки дампа NTDS в журнале Direcrory Service: ![](https://i.imgur.com/W80O4bz.png) ### Работу выполнила Шпанагель Дарья