# Windows Basic 6 ## Практика 6.1 ### 1) Базовые атаки на инфраструктуру Windows - Создал бэкап NTDS   - Передал бэкап с винсервера на кали   - Установил impacket  - Провожу анализ NTDS  - Запустил cmd в DC1 от имени администратора в кали ![Uploading file..._4ashiujcq]() - Разрешил удаленное подключение админам  - Запретили доступ из-за политики restricted admin  - Отключил политику  - Теперь пускает на удаленный рабочий стол от имени ADMPetr  - Запустил режим анализа responder  - Доменный ПК пытается обратиться к несуществующему ресурсу  - Анализатор видит LLNMR, NBNS запросы  - Запуск Responder для отправления WPAD  - Responder перехватывает аутентификационный токен после того как доменный пк обратился к сетевому ресурсу  - Установил mitm6  - Бывшие настройки сетевого адаптера PC1  - Ввел команду  - Текущие настройки сетевого адаптера PC1  - Создал новый SMB сервер  ## Практика 6.2 - Активировал политику аудита машинных учетных записей и применил ее к контроллерам домена  ### 2) Эксплуатация уязвимостей контроллера домена - Вызвал эксплоит  - Применил команду из /impacket/examples  - С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя  ## 3) Поиск следов эксплуатации уязвимостей - Проверил журнал System  - Проверил Security, появилось событие 4742  - Проверил System, появилось событие 5823  - Увидел данные выгрузки в журнале Directory Service