Windows_Basic-Дюжев_Владимир-Практика-6 # Практическая работа №6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Часть 1. Базовые атаки на инфраструктуру Windows Бэкап NTDS  Перенос NTDS  Анализ NTDS  Crackmapexec. Выполнил команду от имени пользователя на удаленной машине  XFreeRDP. Включил удалённый доступ по RDP  Пробую зайти на DC1 и подтверждаю сертификат  Зашел по RDP   Изменил параметр реестра на dc1  Теперь могу получить доступ через XFreeRDP  Запустил анализ через Responder  Доменный ПК пытается обратиться к несуществующему сетевому ресурсу  Анализатор видит LLNMR,NBNS запросы  Запуск Responder для отравления WPAD  Responder перехватывает аутентификационный токен после того как доменный пк обратился к сетевому ресурсу  Атака с помощью mitm6 Настройки сетевого адаптера pc1 до атаки  Произвел саму атаку  Настройки сетевого адаптера pc1 после атаки  После захода на домен через проводник, на кали картина обстоит следующим образом  ## Часть 2. Эксплуатация уязвимостей контроллера домена Для начала активирую политику аудита машинных учетных записей и применяю к контроллерам домена  Вызов эксплойта  Перешел в impacket/examples для выполнения оттуда команды  С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя  ## Часть 3. Поиск следов эксплуатации уязвимостей Проверил журнал System  Проверил Security, увидел событие 4742  Проверил Security, увидел событие 5823  Увидел данные выгрузки в журнале Direcrory Service