Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры

# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру Часть 1. Базовые атаки на инфраструктуру Windows. 1.1 Бэкап NTDS ![](https://i.imgur.com/HgAkoV3.png) 1.2 Перенос NTDS ![](https://i.imgur.com/FJyMUos.png) 1.3 Анализ NTDS ![](https://i.imgur.com/rzfQ7L7.png) ![](https://i.imgur.com/ubGwF8W.png) ![](https://i.imgur.com/ukpw584.png) ![](https://i.imgur.com/0xbn3bT.png) ![](https://i.imgur.com/m6Tf7WD.png) Этап 2. Path-the-hash. 2.1 Crackmapexec ![](https://i.imgur.com/zC4y32k.png) 2.2 XFreeRDP ![](https://i.imgur.com/ZPKzVoB.png) ![](https://i.imgur.com/FF3MzCd.png) ![](https://i.imgur.com/5QUQXhZ.png) ![](https://i.imgur.com/LwFocu1.png) ![](https://i.imgur.com/qxLy8EI.png) ![](https://i.imgur.com/57XWjbL.png) ![](https://i.imgur.com/Bzbrnx1.png) Этап 3. Атаки на базовые протоколы Windows. Доменный ПК пытается обратиться к несуществующему сетевому ресурсу ![](https://i.imgur.com/dVj4a5A.png) Анализатор видит LLNMR, NBNS запросы ![](https://i.imgur.com/Tc1PJco.png) Responder запускается ![](https://i.imgur.com/DQ2L8jI.png) Пользователь снова проходит по несуществующему пути ![](https://i.imgur.com/LGo2dCQ.png) Responder перехватывает аутентификационный токен ![](https://i.imgur.com/oTqRfqW.png) mitm6. Установка: pip install mitm6. Выполнение атаки: mitm6.py -d pt.local.Настройки сетевого адаптера pc1. Было ![](https://i.imgur.com/jbI3P0a.png) После атаки с Kali Linux. Настройки сетевого адаптера pc1. Стало ![](https://i.imgur.com/R0VYxrh.png) Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер ![](https://i.imgur.com/Nxge8ZB.png) А на Win10 через проводник попробуем зайти на наш домен ![](https://i.imgur.com/A6UVuIJ.png) Увидим данные аутентификации в выводе программы ![](https://i.imgur.com/JrED9iq.png) ## Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры Для начала нужно активировать политику аудита машинных учетных записей и применить к контроллерам домена ![](https://i.imgur.com/hTjDWqF.png) Часть 2. Эксплуатация уязвимостей контроллера домена. 2.1 Проведем поиск по уязвимости zerologon и найдём множество репозиториев на github, в том числе и с эксплойтами ![](https://i.imgur.com/hQAGuaj.png) 2.2 Скачаем один из них ![](https://i.imgur.com/nCzulBE.png) 2.3 Перейдем в скачанную папку и прочитаем README ![](https://i.imgur.com/JKa7oKj.png) 2.4 Нам предлагают использовать консткукцию для вызова эксплойта. Используем команду ![](https://i.imgur.com/FmAEbfF.png) 2.7 Перейдём в impacket/examples и выполним оттуда команду ![](https://i.imgur.com/DsyJxRj.png) 2.8 С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя ![](https://i.imgur.com/Hcu63Qz.png) Часть 3. Поиск следов эксплуатации уязвимостей.3.1 Проверим журнал System, увидим ошибку Netlogon ![](https://i.imgur.com/VWVzZ4F.png) 3.1 Проверим Security, увидим событие 4742 ![](https://i.imgur.com/rNHo94i.png) 3.1 Внимательно проанализируем событие ![](https://i.imgur.com/joxlbQd.png) 3.1 Найдём событие 5823 в журнале System с помощью фильтра. Событие есть, но оно произошло намного раньше ![](https://i.imgur.com/8d5j9Ky.png) Если поискать события 4742 за день, когда произошло 5823, то мы их найдём. Это легитимные события, связанные с введением в домен dc2 ![](https://i.imgur.com/fOyIs7C.png) Можно искать события с помощью PowerShell ![](https://i.imgur.com/uqks4OR.png) 3.1 Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service ![](https://i.imgur.com/hfBdccI.png)