# Муханов Матвей. Занятие 6 - Базовые атаки и компрометация доменной Windows-инфраструктуры ## Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру. ### Задание 1) Провести анализ базы NTDS 2) Выполнить атаку “Path-the-hash” 3) Реализовать атаки на базовые протоколы Windows ### Методический материал: #### Часть 1. Базовые атаки на инфраструктуру Windows ##### Этап 1. Анализ базы NTDS Осуществляю бэкап NTDS, вводя команды к консоль. Появились логи на диске С  Теперь перенос NTDS. С помощью SMB захожу на сервер Win с Kali  Для анализа дампа для начала нужно скачать impacket  После установки нужно перехожу из директории impacket в директорию examples и выполняю команды  #### Этап 2. Path-the-hash Crackmapexec  Cписки сетевых папок пользователя  Утилита smbexec  С хэшем войдём по RDP. Для начала включим удалённый доступ по RDP на dc1, доступ дадим администраторам домена   Подтвердим сертификат  Действует политика restricted admin Изменим параметр реестра на dc1    После чего xfreerdp спокойно пускает нас с помощью хеша  ##### Этап 3. Атаки на базовые протоколы Windows Запускаем анализ Responder  Доменный ПК пытается обратиться к несуществующему сетевому ресурсy, допуская ошибку  Анализатор видит LLNMR, NBNS запросы  Режим атаки. Responder запускается  Пользователь снова проходит по несуществующему пути  Responder притворяется этим ресурсом, поэтому видим окно аутентификации Responder перехватывает аутентификационный токен   Данный токен можно подвергнуть брутфорсу. Атака mitm6 скачаем  Выполнение атаки Настройки сетевого адаптера были  Kali Linux. Атака  Настройки сетевого адаптера pc1 cтали  Не отключая mitm6, создадим SMB сервер  А на Win10 через проводник попробуем зайти на наш домен  Увидим данные аутентификации в выводе программы  Эти аутентификационные данные уже можно вскрывать с помощью hashcat или John the ripper ## Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры. ### Задание: 1) Провести эксплуатацию уязвимостей контроллера домена 2) Найти следы эксплуатации уязвимостей ### Методический материал: Для начала нужно активировать политику аудита машинных учетных записей и применить к контроллерам домена  #### Часть 2. Эксплуатация уязвимостей контроллера доменa Проведем поиск по уязвимости zerologon и найдём множество репозиториев на github, в том числе и с эксплойтами  Скачаем один из них  Перейдем в скачанную папку и прочитаем README   Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdump, но сначала скачаем его   С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя  #### Часть 3. Поиск следов эксплуатации уязвимостей Проверим журнал System, увидим ошибку Netlogon  Проверим Security, увидим событие 4742  Проанализирую событие Найдём событие 5823 в журнале System с помощью фильтра  Событие есть, но оно произошло намного раньше  Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service