Windows_Basic-Криворученко_Савелий-Практика-6

# Windows_Basic-Криворученко_Савелий-Практика-6 <a name="headers"><h2>6.1 Базовые атаки и компрометация доменной Windows-инфраструктуры</h2></a> # Задание: 1) Провести анализ базы NTDS 2) Выполнить атаку “Path-the-hash” 3) Реализовать атаки на базовые протоколы Windows ### Часть 1. Базовые атаки на инфраструктуру Windows ### Этап 1. Анализ базы NTDS |1.1 Бэкап NTDS| |--------------| >Заходим в командную строку в роли администратора и вводим команду, для активации процесса Install From Media, позволяющий сделать копию нашего NTDS с необходимыми ветками реестра: | ntdsutil activate instance ntds ifm create full C:\temp | | -------- | >![](https://i.imgur.com/NuSIPq0.png) |1.2 Перенос NTDS| |--------------| >Перенесем temp каталог >![](https://i.imgur.com/xuhJmYD.png) |1.3 Анализ NTDS| |--------------| > устанавливаем ``` git clone https://github.com/SecureAuthCorp/impacket apt install python3-pip cd impacket pip install . ``` >![](https://i.imgur.com/rr2uoh8.png) > переходим в каталог examples, где исполняем скрипт и анализируем инстанс базы данных NTDS > > ![](https://i.imgur.com/u8wpOOd.png) ### Этап 2. Path-the-hash |2.1 Crackmapexec| |--------------| >ВКЛ KALI, WIN 10, DC1 >Возьмем хеш админа из secretdump, и войдем в винду >![](https://i.imgur.com/dROzHFI.png) > ``` другие функции данной утилиты: ``` > быстрое сканирование сети и обнаружение хостов, как либо взаимодействующих с протоколом smb: >![](https://i.imgur.com/1UQHIp8.png) >выполнение команды от имени пользователя на удаленной машине посредством командной строки: >![](https://i.imgur.com/Q9Awhvs.png) |2.2 XFreeRDP| |--------------| > С хешем можно зайти даже по RDP. Для этого используется следующая команда. ``` xfreerdp /d:domainname /u:username /v:ipaddr /pth:NTHASH ``` >Но вначале вкл RDP, и дадим доступ адмнам домена >![](https://i.imgur.com/GaoIpuh.png) >и поменяем политику >![](https://i.imgur.com/N96uQzt.png) >Попробуем зайти: > >![](https://i.imgur.com/ylTpLSt.png) >![](https://i.imgur.com/HOlYOpR.jpg) ### Этап 3. Атаки на базовые протоколы Windows | NBT-NS & LLMNR & mDNS | | -------- | > Важной частью эксплуатации будет WPAD -- специальный протокол для настройки проксирования в системе Win. Система всегда запрашивает файл с настройками wpad.dat, а злоумышленник может подсунуть свой файл, став прокси-серверов для Win и таким образом осуществив атаку "человек посередине". * Анализ инфраструктуры через responder >Запускаем анализ Responder >![](https://i.imgur.com/ZCW6u9a.png) >Доменный ПК пытается обратиться к несуществующему сетевому ресурсу >![](https://i.imgur.com/pctM8GT.png) >![](https://i.imgur.com/Yl9d8Oe.png) * Режим атаки: >![](https://i.imgur.com/cJzombX.png) > >Пользователь снова проходит по несуществующему пути > >![](https://i.imgur.com/DICXAdB.png) ``` Responder притворяется этим ресурсом, поэтому видим окно аутентификации ``` >Responder перехватывает аутентификационный токен > >![](https://i.imgur.com/miKu1mP.png) ``` Данный токен можно подвергнуть брутфорсу. При попытке пользователя обратиться к несуществующему в DNS WinServer16 ресурсу (в этом примере это "\\\somebodywastoldme") в выводе мы увидим NTLNv2 аутентификацию, которую после можно брутфорсить через hashcat или John the ripper. В выводе будет NTLMv2 хэш, так как наш сервер не принимает kerberos аутентификацию, вынуждая win10 аутентифицироваться по чистому NTLMv2. ``` | mitm6| | -------- | > Для начала установим > ![](https://i.imgur.com/GO2qpEZ.png) > настройки сети pc1 > ![](https://i.imgur.com/GjDNU4U.png) > Подмена параметров win 10. Для полной атаки нам необходимо создать свой сервер smb > ![](https://i.imgur.com/2nxXDJu.png) > ![](https://i.imgur.com/n1PNaWZ.png) >попробуем зайти на наш домен на win 10 >![](https://i.imgur.com/WsuvmJn.png) >Увидим данные аутентификации в выводе программы ![](https://i.imgur.com/4OvYIge.png) ``` Эти аутентификационные данные уже можно вскрывать с помощью hashcat или John the ripper. Это не чистый хэш пароля, а аутентификация по протоколу NTLMv2 ``` --- <a name="headers"><h2>6.2 Компрометация доменной Windows-инфраструктуры</h2></a> # Задание: 1) Провести эксплуатацию уязвимостей контроллера домена 2) Найти следы эксплуатации уязвимостей >Для начала нужно активировать политику аудита машинных учетных записей и применить к контроллерам домена >![](https://i.imgur.com/sqb3dDZ.png) >![](https://i.imgur.com/qzGeE9k.png) ### Часть 2. Эксплуатация уязвимостей контроллера домена > Скачаем репозиторий с уязвимостью zerologon > ![](https://i.imgur.com/iVyIZNl.png) >Перейдем в скачанную папку и прочитаем README >![](https://i.imgur.com/1uzjQI0.png) > Вызываем Эксплоид > ![](https://i.imgur.com/HCYIrmd.png) >Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdum. Перед этим скачаем импакт для дампа. ![](https://i.imgur.com/f0YEpqa.png) > Перейдем в нужный каталог и применим команду ``` python3 secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'PT/DC1$@192.168.10.200' ``` ![](https://i.imgur.com/lhR3Q8p.png) > С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя ![](https://i.imgur.com/z7nNO1m.png) ### Часть 3. Поиск следов эксплуатации >Проверим журнал System, увидим ошибку Netlogon >![](https://i.imgur.com/1cdwKvD.png) >Проверим Security, увидим событие 4742 >![](https://i.imgur.com/MUKZgZL.png) >Анализ выявил, что вошли в систему с анонимной учетки, изменили пароль. Для проверки легитимности события, нужно провести поиск "событие ID 5823" ![](https://i.imgur.com/gsF5f4O.png) ![](https://i.imgur.com/DBETLlm.png) | Событие произошло, но гораздо раньше | | -------- | Можно посмотреть событие 4742, которое произошло одновремено с 5823, скрин ранее. Оно связано с регистрацией DC2 | Также можно произвести поиск по PS| | -------- | |![](https://i.imgur.com/gGIAxqT.png) | >При дампе NTDS, это можно увидеть данные выгрузки в журнале Direcrory Service ![](https://i.imgur.com/RMnXMnH.png)