Практическая работа № 6

# Практическая работа № 6 ###### tags: `pt` `windows` ## 1) Подготовка и выполнение базовых атак ### 1. Анализ базы NTDS #### Создание копии базы NTDS ![](https://i.imgur.com/1qj0tpW.png) ![](https://i.imgur.com/MBkdFVy.png) #### Перенос базы NTDS с помощью smb на Kali ![](https://i.imgur.com/8WbPg22.png) #### Установка impacker для анализа дампа NTDS ![](https://i.imgur.com/uENxorj.png) ![](https://i.imgur.com/L7ZVqUA.png) #### Вывод таблицы lmhash и nthash ![](https://i.imgur.com/S9uTecW.png) ### 2. Path-the-hash #### Выполнение whoami от имени админа удаленно с помощью smb ![](https://i.imgur.com/o31DBEs.png) #### Вывод информации о сетевых папках ![](https://i.imgur.com/seeEsom.png) #### Удаленное выполнение команд в cmd от имени админа ![](https://i.imgur.com/ntnv6TO.png) ### 3. XFreeRDP #### Включение удаленного доступа группе domain admins ![](https://i.imgur.com/QjSo1xA.png) ![](https://i.imgur.com/g4gy5OM.png) #### Попытка подключиться к dc1 по rdp ![](https://i.imgur.com/SFnEgcL.png) ![](https://i.imgur.com/vRdV578.png) ![](https://i.imgur.com/nvtVOAl.png) #### Изменение параметра реестра на dc1 ![](https://i.imgur.com/AGiXozJ.png) #### Просмотр логов событий powershell на Kali ![](https://i.imgur.com/B46XtSn.png) ### 4. Responder #### Запуск анализатора Responder ![](https://i.imgur.com/6fnYWcK.png) #### Пытаемся подключиться к несуществующей сетевой папке ![](https://i.imgur.com/QDQAmFg.png) #### Вывод перехваченных запросов от win10 ![](https://i.imgur.com/7dL1bdH.png) #### Запуск Responder в режиме атаки ![](https://i.imgur.com/18AJsY8.png) #### Пытаемся подключиться к несуществующей сетевой папке ![](https://i.imgur.com/uTCxJ6v.png) #### Перехват токена аутентификации ![](https://i.imgur.com/aMQXSxD.png) ### 5. mitm6 #### Установка и запуск mitm6, направленного на домен pt.local ![](https://i.imgur.com/Q1wGm6T.png) #### Изменение сетевых реквизитов, полученных по DHCPv6 ![](https://i.imgur.com/wuqV9nR.png) #### Создание smb-сервера с сетевой папкой "SMB" ![](https://i.imgur.com/UMvZpjk.png) #### Попытка зайти на сетевую папку, используя данные аутентификации ![](https://i.imgur.com/uW5DKpH.png) ![](https://i.imgur.com/Dkt0Y0y.png) #### Перехваченные данные аутентификации по NTLMv2 ![](https://i.imgur.com/RZ70OvR.png) ## 2) ZeroLogon: эксплуатация уязвимостей и поиск следов эксплуатации ### 1. Подготовка #### Редактирование политики на логирование машинных УЗ ![](https://i.imgur.com/Lixf1ad.png) #### Обновление политик ![](https://i.imgur.com/wDTDPxX.png) ### 2. Проведение атаки #### Вызов эксплойта zerologon ![](https://i.imgur.com/FFRGuCW.png) #### Запись скомпроментированных учетных данных и проверка админок ![](https://i.imgur.com/eWRbWeP.png) ![](https://i.imgur.com/8IauBNC.png) ### 3. Поиск следов проведения атаки #### NETLOGON ![](https://i.imgur.com/P7Paav2.png) #### Анонимный вход на машинную учетки со сменой пароля ![](https://i.imgur.com/kS2aGaw.png) #### Поиск доказательств легитимности замены пароля службой network service ![](https://i.imgur.com/FtNck0M.png) #### События реагирования на дамп NTDS ![](https://i.imgur.com/qkM2Lcn.png)