# Курс PT. 01 Windows, практика 06: базовые атаки и компрометация доменной Windows-инфраструктуры --- --- --- В качестве одной из базовых атак базовыми средствами Windows на DC1 был сделан бэкап NTDS,  который затем через SMB был выгружен на машину Kali. На ней был установлен пакет impacked с утилитой secretsdump.py, через которую производилась расшифровка этого дампа:  Затем через smbexec с помощью полученных логинов и хэшей была продемонстрирована возможность исполнения кода в CMD на сервере:  --- --- --- После была опробована возможность RDP. Для этого была задействована утилита xfreerdp. Вход осуществлялся на машину DC1, поэтому потребовалось дополнительно выполнить 2а момента: * включить службу WRM и разрешить некоторым пользователям поюключаться по ней; * разрешить удаленное подключение администраторов к серверу (по умолчанию отключено). В результате получил следующую "картину":  --- --- --- Далее была опробована возможность атаки на протоколы NBT-NS | LLMNR | mDNS. Сначала мы запускаем анализ инфраструктуры через Responder (параметр A):  Все запросы пользователей и обмен информацией мы видим как на "ладони":  Затем мы переводим сканер в режим "атаки" (параметр -wFv) через WPAD и принудительное использование устаревших протоколов:  В результате обращения пользователя к "неправильным" ресурсам мы можем легко получить его доменные аутентификационные данные:   --- --- --- Теперь попробуем реализовать атаку через протокол IPv6. Он специально не отключен в нашей инфраструктуре. Для этого можно воспользоваться утилитой mitm6, поднимающей свой IPv6 DNS-сервер.  В результате активации все активные машины домена (DC1 и PC1) получают адреса IP6 и пытаются "использовать" именно их для дальнейшего взаимодействия:  Для получения аутентификационных данных попробуем поднять фиктивный SMB-сервер:  Но данный прием не срабатывает - не смотря на "трудности" в подключении PC1 все равно выходит на нужный сервер, а в логах mitm6 нужной информации нет:    Возможная причина - на Windows10 в ходе работы автоматически установились ряд обновлений из сервиса WU. На будущее стоит в подготовке предусмотреть средства для блокировки обновлений =/ --- --- --- Осталось только рассмотреть компроментацию всей инфраструктуры через уязвимость ZeroLogon. Для этого мы используем соотвествующий эксплойт, срабатывающий практически моментально:  Теперь мы можем дистанционно проанализировать NTDL скопроментированного контроллера:  В результате полученной информации мы можем ряд команд, как уже было рассмотрено ранее. Однако данный прием имеет и обратную "сторону", т.к. практически "ломает" домена. И при наличии в инфраструктуре SIEM-систем это замечается крайне быстро:   Отсутствие актуальной записи о смене пароля компьютера свидетельствует о нелегимной процедуре (домену < 30 дней, пароль не должен был меняться):