HackMD - Collaborative Markdown Knowledge Base

Занятие 6 - Базовые атаки и компрометация доменной Windows-инфраструктуры Часть 1. Базовые атаки на инфраструктуру Windows Этап 1. Анализ базы NTDS 1.1 Бэкап NTDS ![](https://i.imgur.com/ZMpQHU1.png) Этот набор команд активирует процесс Install From Media, позволяющий сделать копию нашего NTDS с необходимыми ветками реестра. После этого дамп сохранится в папку C:\temp 1.2 Перенос NTDS ![](https://i.imgur.com/Naq1cC1.png) Копируем дамп на Linux машинку с помощью SMB 1.3 Анализ NTDS Далее с пмощью команды приведённой ниже проанализируем дамп ![](https://i.imgur.com/8fK86Rk.png) Этап 2. Path-the-hash 2.1 Crackmapexec Набор питон скриптов для тестирования Windows окружения ![](https://i.imgur.com/voc4oyT.png) Быстрое сканирование сети ![](https://i.imgur.com/9S6wzpq.png) Запуск cmd для удалённой передачи команд 2.2 XFreeRDP С хешем можно зайти даже по RDP. Но сначала включим доступ по RDP на dc1, доступ дадим администраторам домена ![](https://i.imgur.com/fnloxcq.png) И изменим параметр реестра ![](https://i.imgur.com/vEQDjvb.png) Вводим команду и получаем: ![](https://i.imgur.com/Q37R9b2.png) ![](https://i.imgur.com/8OVeGpr.png) Этап 3. Атаки на базовые протоколы Windows NBT-NS & LLMNR & mDNS Анализ инфраструктуры через responder Запускаем анализ Responder responder -I eth0 -A Доменный ПК пытается обратиться к несуществующему сетевому ресурсу ![](https://i.imgur.com/2wObuR3.png) Анализатор видит LLNMR, NBNS запросы ![](https://i.imgur.com/gizCCtD.png) Режим атаки: Responder запускается ![](https://i.imgur.com/gJdAxKu.png) Пользователь снова проходит по несуществующему пути Responder перехватывает аутентификационный токен ![](https://i.imgur.com/LgPfkrW.png) mitm6 Установка mitm6: ![](https://i.imgur.com/gN8hGIm.png) Настройки сетевого адаптера pc1. Было: ![](https://i.imgur.com/QgqIIml.png) Атака с Kali Linux ![](https://i.imgur.com/7K9C6ms.png) Стало: ![](https://i.imgur.com/ZiYFJkZ.png) Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер: ![](https://i.imgur.com/LelsteG.png) А на Win10 через проводник попробуем зайти на наш домен ![](https://i.imgur.com/ybl4jai.png) Увидим данные аутентификации в выводе программы ![](https://i.imgur.com/X4fTzIh.png) Часть 2 Эксплуатация уязвимостей контроллера домена ![](https://i.imgur.com/PzsWjCt.png) Для начала активируем политику аудита машинных учетных записей и применим к контроллерам домена 2.1 Скачам с github репрезиторий с эксплойтами zerologan ![](https://i.imgur.com/oZ7mivE.png) 2.2 Откроем README ![](https://i.imgur.com/RS0Z4lx.png) 2.3 Используем команду для вызова эксплойта ![](https://i.imgur.com/uEQHyv6.png) Скрипт обнулил пароль машинной учетной записи контроллера домена. 2.4 Теперь сдампим NTDS с помощью secretsdump ![](https://i.imgur.com/mg4uWHt.png) 2.5 С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя ![](https://i.imgur.com/JcjcfTx.png) Часть 3. Поиск следов эксплуатации уязвимостей 3.1 Проверим журнал System, увидим ошибку Netlogon ![](https://i.imgur.com/Vi3lNgN.png) 3.2 Проверим Security, увидим событие 4742 ![](https://i.imgur.com/4ZFS6AM.png) Во-первых, ANONYMOUS LOGON -- уже довольно подозрительный факт Ещё в логе можно увидеть заполненное поле password last set -- это значит, что пароль был изменён. При легитимном взаимодействии пароль на машинной учетной записи может менять только NETWORK SERVICE. И, если это происходит, генерируется ещё одно событие с id 5823 3.3 Найдём событие 5823 в журнале System с помощью фильтра ![](https://i.imgur.com/mrqaJGI.png) Событие есть, но оно произошло намного раньше 3.4 Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service