Отчет 3. ААА в Windows

# Отчет 3. ААА в Windows ## Часть 1. Анализ памяти Lsass.exe 1. Поменяли пароль у Ольги, вошли в ее аккаунт и проверяем содержимое папки \\pt.local ![](https://i.imgur.com/ASgFs1y.png) 2. Вышли из аккаунта Ольги, поменяли пароль у Петра и вошли в его аккаунт. ![](https://i.imgur.com/kny09Me.png) 3. Запускаем cmd от имени администратора. ![](https://i.imgur.com/IA5kS9C.png) 4. Ввели данные ADMpetr и получили доступ к cmd. ![](https://i.imgur.com/e3JLAES.png) 5. Теперь запустим диспетчер задач от имени администратора. ![](https://i.imgur.com/FEWNfPm.png) ![](https://i.imgur.com/oJR4NsQ.png) 6. Нашли процесс lsass.exe ![](https://i.imgur.com/XH6NaWx.png) 7. Создаем файл дампа. ![](https://i.imgur.com/h97RWbv.png) Его расположение: ![](https://i.imgur.com/vwOLYi1.png) 8. Зашли в Kali, получили привилегии суперпользователя и запустили SSH. ![](https://i.imgur.com/vSC5tfA.png) 9. Настроили сетевой адаптер на Kali и передали по SSH дамп файл. ![](https://i.imgur.com/ctinVEm.png) ![](https://i.imgur.com/mDUqNbM.png) 10. Выход в интернет осуществляется с помощью настроенного роутера mikrotik. Скопировали git-репозиторий с нужным нам скриптом. ![](https://i.imgur.com/5SP3AYC.png) 11. Перешли в директорию pypykatz и применили скачанный скрипт на дамп, переданный ранее по SSH. ![](https://i.imgur.com/gHQlc38.png) 12. Видим, что в дампе памяти процесса содержатся разные учетные данные пользователей, находившихся в сети в момент его создания. ![](https://i.imgur.com/YJ1AiiI.png) ![](https://i.imgur.com/H6zs6R1.png)