# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру ### 1. Проведен анализ базы NTDS - сделан бэкап NTDS:  - файл с данными скопирован на Kali:  - для анализа дампа скачан и установлен impacket:  - при помощи утилиты secretsdump извлечены из сохраненных данных локальные аккаунты, закешированные учетные записи домена и секретные ключи LSA:  ### 2.1 Проведена атака вида Path-the-hash - используем набор python-скриптов для тестирования Windows окружения Crackmapexec: Можно выполнять команды от имени пользователя на удаленной машине посредством командной строки:   С помощью утилиты smbexec из состава impacket, можно запустить cmd windows для удаленной передачи команд:  ### 2.2 Проверена возможность подключения к серверу по RDP с ипользованием хеша: - включен удалённый доступ по RDP на DC1 для администраторов домена:  заходим на DC1:   меняем параметры режима restricted admin через правку параметра реестра на DC1:   Благодаря включенной политика аудита команд PowerShell, в журнале можно увидеть выполнение этой команды:  После проведенных настроек, удаленное подключение по RDP с использованием хеша проходит успешно:   ### 3. Реализованы атаки на базовые протоколы Windows - проведен анализ инфраструктуры через responder: запускаем анализ Responder:   эмулируем действия доменного пользователя, пытаясь обратиться к несуществующему сетевому ресурсу. Анализатор видит LLNMR, NBNS запросы:  запускаем Responder для проведения атаки:  теперь, когда пользователь снова проходит по несуществующему пути, Responder притворяется этим ресурсом - появляется окно аутентификации, и Responder перехватывает аутентификационный токен:  - реализована атака mitm6: после скачивания и установки запускам mitm6, указав атакуемый домен pt.local:  включаем использование протокола Ipv6 на компьютере PC1:   (параметры до: ) создаем свой сервер SMB, требующий аутентификации пользователя для доступа к ресурсам. При попытке доступа к сетевому ресурсу пользователь вводит свои данные для аутентификации, которые успешно перехватываются:  ## Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры. - в политике для контроллеров домена "Default Domain Controllers Police" активирована политика аудита машинных учетных записей "Audit Computer Account Management":  ### Проведена эксплуатация уязвимостей контроллера домена - на github найден и скачан экплойт для эксплуатации уязвимости zerologon (CVE-2020-1472):  - используем команду для вызова эксплойта "cve-2020-1472-exploit.py -n DC1 -t 192.168.10.200":  В результате, скрипт обнулил пароль машинной учетной записи контроллера домена. Сдампим NTDS с помощью secretsdump, команда "secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'PT/DC1$@192.168.10.200'":  Используя полученные хеши учетных данных, можно выполнять команды от любого пользователя. Например, ипользована команда "crackmapexec smb 192.168.10.200 -u ADMPetr -H 05df2fd1109e3d3b60f110965f6af128 -x whoami":  ### Обнаружены следы эксплуатации уязвимостей - В журнале System видим ошибку Netlogon:  - В журнале Security видим событие с id 4742, указывающее на изменение учетной записи компьютера нелегитимным пользователем:  - При легитимном взаимодействии генерируется ещё одно событие с id 5823. Если поискать события с id 4742 за день, когда произошло событие с id 5823, то мы обнаружим, что это легитимные события, связанные с введением в домен сервера DC2:   - В случае попыток выгрузки дампа NTDS, то можно увидеть события в журнале Direcrory Service: