Макаров Дмитрий Владиславович - Windows Basic. Практическая работа 3. ААА в Windows

# Макаров Дмитрий Владиславович - Windows Basic. Практическая работа 3. ААА в Windows [toc] ## Часть 1. Анализ памяти Lsass.exe Проанализируем содержимое памяти процесса. Сделаем дамп, передадим на **Kali Linux** и проанализируем с помощью *mimikatz* на *python*. Для более детального анализа для начала проведём эмуляций различных пользователей на **Windows 10**. 1.1 Зайдём под учетной записью Ольги :::info Login: Olga Password: O-Qq123456 ::: --- ![](https://i.imgur.com/jRbuSTw.png) --- 1.2 Пробуем обратиться к ресурсам домена --- ![](https://i.imgur.com/wSuxcBY.png) --- 1.3 Выйдем из учетной записи Ольги --- ![](https://i.imgur.com/drLhWLc.png) --- 1.4 Зайдём под учетной записью Петра :::info Login: Petr Password: P-Qq123456 ::: --- ![](https://i.imgur.com/lVaXK2V.jpg) --- 1.5 Запустим командную строку от имени администратора --- ![](https://i.imgur.com/ykOXamJ.png) --- 1.6 Так как **Petr** не является администратором **PC1**, введем данные **ADMPetr** :::info Login: ADMpetr Password: Qq123456 ::: --- ![](https://i.imgur.com/QNQKwxR.png) --- 1.7 Введём команду *whoami*, чтобы проверить, кто мы --- ![](https://i.imgur.com/PFxrbhf.png) --- 1.8 Теперь запустим диспетчер задач от имени администратора **ADMPetr**. Используем данные **ADMpetr** --- ![](https://i.imgur.com/ZdHPj4L.png) --- 1.9 Откроем подробное представление, перейдём в подробности и найдём процесс **lsass.exe**. Нажмем ПКМ по процессу **lsass.exe** и выберем пункт *создать дамп файла* --- ![](https://i.imgur.com/8IzL7dq.png) --- 1.10 Дамп создан. Запомним его расположение --- ![](https://i.imgur.com/uV47DOK.png) --- 1.11 Теперь используем **Kali Linux**, чтобы включить **ssh** и передать файл. Откроем консоль.Повысим привилегии с помощью *sudo -i* --- ![](https://i.imgur.com/kJFrs3X.png) --- 1.12 Включим сервис **ssh** --- ![](https://i.imgur.com/wqgDRQH.png) --- 1.13 Вернёмся в **Windows 10** и с помощью командной строки, запущенной от имени **ADMPetr** передадим файл на **Kali Linux**. Нужно подтвердить *fingerprint (yes)* :::info 192.168.10.9 -- ip адрес **sato** ::: --- ![](https://i.imgur.com/e4fv1Pd.png) --- 1.14 Введём пароль **sato** и увидим, что файл передан --- ![](https://i.imgur.com/vg4h8Zu.png) --- 1.15 Проверим, что на **Kali Linux** файл присутствует --- ![](https://i.imgur.com/ZrUFg0H.png) --- 1.16 Переключимся в директорию с **lsass** и скачаем скрипт **pypykatz** Используем команду: --- ``` git clone <https://github.com/skelsec/pypykatz ``` --- ![](https://i.imgur.com/gCMOwEp.png) --- 1.17 Перейдём в директорию *pypycatz* и выполним скрипт, применив его к скачанному ранее дампу Используем команды: --- ``` cd pypykatz/pypykatz ``` --- ``` pypykatz lsa minidump /home/kali/lsass.DMP ``` --- ![](https://i.imgur.com/IVP5e2F.png) --- 1.18 Увидим учетные данные, которые скрипт достал из процесса **lsass** --- ![](https://i.imgur.com/MUY6Ecq.png) --- Память процесса **lsass** будет содержать учетные данные и **ADMPetr**, и **Petr**, так как эти пользователи были активны в момент создания дампа процесса.