Отчет 6. - HackMD

# Отчет 6. ## Базовые атаки на инфраструктуру Windows. ### Часть 1 #### Этап 1. Анализ базы NTDS. 1. Бэкап NTDS. ![](https://i.imgur.com/HILACSl.png) 2. Перенос NTDS. ![](https://i.imgur.com/nUcIhpE.png) 3. Анализ NTDS. ![](https://i.imgur.com/HBMnfnd.png) ![](https://i.imgur.com/97sOXPS.png) ### Этап 2. Path-the-hash. #### Crackmapexec 1. Быстрое сканирование сети ![](https://i.imgur.com/1DERqWi.png) 2. Получили доступ к Windows PowerShell ![](https://i.imgur.com/C4KGcyX.png) 3. XFreeRDP(UPD) Включили удаленный доступ ![](https://i.imgur.com/QmWC6Ah.png) Нужный нам хэш ![](https://i.imgur.com/fQzKlMY.png) Пробуем подключиться к dc1 подтвердили сертификат ![](https://i.imgur.com/DlhygMi.png) Подтвердили сертификат, ввели правильный хэш admpetr'a и получили вот такой экран: ![](https://i.imgur.com/CCoXZFs.png) так как действует политика restricted admin Изменим параметр реестра dc1 ![](https://i.imgur.com/pnjpfHS.png) Пытаемся войти. ![](https://i.imgur.com/RvP9niT.png) Успешно получили доступ. ### Этап 3. Атаки на базовые протоколы Windows. #### Анализ инфраструктуры через responder 1. Запустили анализ responder ![](https://i.imgur.com/2EObY2r.png) 2. Попытались обратиться к несуществующему ресурсу через доменны пк ![](https://i.imgur.com/84Ijwy4.png) 3. Анализатор видит события ![](https://i.imgur.com/Pja43Kt.png) 4. Режим атаки ![](https://i.imgur.com/8SOKe9s.png) 5. Пользователь проходит по несуществующему пути. Responder притворяется эти ресурсом. ![](https://i.imgur.com/bTRNIVB.png) 6. Responder перехватывает аутентификационный токен. ![](https://i.imgur.com/2NqFajP.png) #### mitm6 1. ![](https://i.imgur.com/1s4kBp1.png) 2. Атака Было необходимо включить IPv6 ![](https://i.imgur.com/lqLfjvo.png) Параметры win10 подменились: IPv4 адрес 192.168.10.50 поменялся на 192.168.10.51 ![](https://i.imgur.com/DwiSPvK.png) 3. Cоздание своего SMB сервера ![](https://i.imgur.com/C7S8ThH.png) ![](https://i.imgur.com/WFnmi7t.png) 4. Увидели данные аутентификации в выводе программы ![](https://i.imgur.com/vhvj6AP.png) ### Часть 2. Эксплуатация уязвимостей контроллера домена 0. Настраиваем политики ![](https://i.imgur.com/bVuaxRu.png) ![](https://i.imgur.com/XoFmxnb.png) 1. Скачали ![](https://i.imgur.com/qbbAkaV.png) 2. Вызвали эксплойт ![](https://i.imgur.com/rUpJoSt.png) 3. Cнова скачали impacket, чтобы получить доступ к нужному нам функционалу. ![](https://i.imgur.com/xaQ2sza.png) ![](https://i.imgur.com/VjKpniE.png) Получили хэши учетных данных. 4. Выполним команду, используя полученные данные ![](https://i.imgur.com/m3ccmAz.png) ### Часть 3. Поиск следов эксплуатации уязвимостей 1. Проверим журнал System, увидим ошибку Netlogon. ![](https://i.imgur.com/xPiK6Rd.png) Произошло в 3:16:40. 2. Проверим Security, увидим событие 4742 ![](https://i.imgur.com/zIt7ftq.png) ![](https://i.imgur.com/heJYVf4.png) произошло в 3:16:41. Подозрительно. 3. Нашли событие 5823 в журнале System с помощью фильтра ![](https://i.imgur.com/Kb6Sbjd.png) ![](https://i.imgur.com/I9mHgUn.png) Событие произошло гораздо раньше, в 20:53. 4. Нашли событие 4742 через PowerShell ![](https://i.imgur.com/Q92HwhT.png) 5. Видим данные, выгруженные в журнал Directory Service. ![](https://i.imgur.com/27CgNlK.png)