###### tags: `Windows Labs` `PT Labs` # Отчёт по лабораторной работе №6 Выполнил: Запорожец Арсений ## Часть 1. Базовые атаки на инфраструктуру Windows ### Этап 1. Анализ базы NTDS Введём набор команд, активирующих процесс Install From Media, позволяющий сделать копию нашего NTDS с необходимыми ветками реестра:  Используя smbclient авторизируемся на сервере WinServer16-1en используя учётную запись одного из администраторов. В моём случае эта была учётная запись PT\administrator:  Приступим к скачиванию и установке impacket. В домашней директории создадим папку work для удобства. Все следующие манипуляции с программой будем проводить там. Скачаем программу с github, перейдём её папку и выполним установку всех компонентов:  Затем, после установки, перейдём в папку "examples" и выполним команду, представленную на скриншоте. Результат её выполнения можно увидеть там же:   ### Этап 2. Path-the-hash Для следующей части в дополнение к уже открытым машинам нам понадобиться pc1. Включим его. Теперь мы приступим к использованию набора инструментов под названием crackmapexec. Самое базовое применение - быстрое сканирование сети на наличие как-либо взаимодействующих с протоколом smb:  Также можно удалённо выполнять команды на машине с помощью smbexec.py:  Теперь попробуем авторизоваться с помощью хэша, но уже по RDP. Подтвердим сертификат:  И получим следующий вывод:  Это произошло потому что действует политика restricted admin. Изменим параметры реестра при помощи Windows PowerShell:  Т.к. у нас включена политика аудита PoSH, зайдя в Event Viewer мы можем увидеть логи, связанные с этим событием:  Повторим попытку подключения по RDP. Она на этот раз окажется успешной:  ### Этап 3. Атаки на базовые протоколы Windows Приступим к реализации атаки "Человек посередине". Так как в моём случае общая сеть находится на eth1, команда в данном случае будет отличаться от той, что представлена в методичке:  Теперь попытаемся получить доступ к несуществующему ресурсу. В данном случае это будет одноимённый представленному в методических указаниях ресурс pt-file:  Наш друг уже заметил LLNMR, NBNS запросы:  Теперь при попытке перейти на несуществующий доменный ресурс, responder притвориться им:  После авторизации пользователь получит сообщение об отказе в доступе, а responder - токен аутентификации, который позже можно будет забрутить:  Теперь выполним атаку с использованием mitm6. В моём случае он уже был установлен. Скрин настроек WinPro до атаки:  Атака с kali:  Скрин после:  Создадим SMB сервер, не отключая mitm6:  Перейдём в pt.local:  И увидим данные аутентификации в окне программы:  ## Часть 2. Компрометация доменной Windows-инфраструктуры. Перед началом стоит активировать политику аудита машинных учетных записей и применить к контроллерам домена:   Теперь на kali скачаем набор эксплойтов для zerologon:  Выведем на экран README.md при помощи команды "cat":  Давайте используем предложенную нам конструкцию эксплойта:  Теперь нам нужен инструмент secretsdump, однако при его вызове возвращается ошибка и сообщение о его отсутствии. Стоит напомнить, что ранее мы скачали пакет пентестерских утилит impacket. В нём как раз есть то, что нам нужно. Перейдём в каталог impacket/examples и выполним команду оттуда:   Теперь, благодаря полученным хэшам можно выполнять команды от имени любого пользователя:  ## Часть 3. Поиск следов эксплуатации уязвимостей Если зайти в журнал событий, то во вкладке "Система" можно увидеть ошибку NETLOGON:  Во вкладке "Безопасность" событие с ID 4742:  Внимательнее изучим событие:  Легетимно пароль на машинной учетной записи может менять только NETWORK SERVICE. Зайдём во вкладку system и проверим наличие такого события при помощи фильтров:   Такое событие дейсвительно было, но произошло оно намного раньше, при в введени в домен dc2. Также такие события можно смотреть при помощи PowerShell:  В случае, если произошёл NTDS дамп, то можно увидеть данные выгрузки в Direcrory Service: