# Практическая работа 6. Базовые атаки и компрометация доменной Windows-инфраструктуры # # Часть 1. Базовые атаки на инфраструктуру Windows # ## 1.1 Выполним команды: ntdsutil, activate instance ntds, ifm, create full C:\temp ##  ## 1.2 В папке C:\\temp появился дамп ##  ## 1.3 С помощью SMB зайдём на сервер Win с Kali ##  ## 1.4 После чего скопируем файлы на Kali: recurse ON, prompt OFF, lcd /home/kali, mget temp ##   ## 1.5 Скачаем impacket ##    ## 1.6 Перейдём в иректорию impacket/examples и выполним команду ##  Вывод этой программы был направлен в файл для удобства чтения. ## 1.7 Для удобства были созданы следующие локальные переменные в файле ##  ## 1.8 Выплоним команду ##  Поелсе этого были записаны локальные переменные, которыми можно пользоваться подстановкой при написании команд. ## 1.9 Сканирование сети и обнаружение хостов, как-либо взаимодействующих с протоколом smb ##  ## 1.10 Можно выполнять команды от имени пользователя на удаленной машине посредством командной строки ##  ## 1.11 Можно посмотреть и список сетевых папок, доступных конкретному пользователю ##  ## 1.12 Запустим cmd windows для удалённой передачи команд ##  ## 1.13 Так же есть аналог ##  ## 1.14 Включим удалённый доступ по RDRP на dc1, доступ дадим администраторам домена ##  ## 1.15 Изменим параметр реестра на dc1 ##  ## 1.16 Заходим по RDRP ##  ## 1.17 Запускаем анализ Responder. responder -I eth0 -A ##  ## 1.18 Доменный ПК пытается обратиться к несуществующему сетевому ресурсу ##  ## 1.19 Анализатор видит LLNMR, NBNS запросы ##  ## 1.20 Режим атаки ##  ## 1.20 Появляется окно аутентификация ##  ## 1.21 Аутентификационый токен был перехвачен ##   ## 1.22 Атака на домен ## ### 1.22.1 Установим mitm6 ###  ### 1.22.2 Настройки сети до атаки ###  ### 1.22.3 Пришлось выполнить команду ipconfig /renew6 чтобы заново получить ip6 адрес ###  ### 1.22.4 Настройки сети после атаки ###  В списках DNS появился нелегитивный DNS сервер ### 1.22.5 Атака ###  ## 1.23 Перехват хэша аутентификации по NTLMv2 ## ### 1.23.1 Не выключая mitm6 нужно запусить свой SMB сервер ###  ### 1.23.2 Попытка входа по сетевому пути \\pt.local ###  ### 1.23.3 Перехват хэша ###  # Часть 2. Компрометация доменной Windows-инфраструктуры # ## 2.1 Для начала нужно активировать политику аудита машинных учетных записей и применить к контроллерам домена ##  ## 2.2 Обновим групповые политики ##  ## 2.3 Скачаем zerologon ##  ## 2.4 Используем эксплойт ##  ## 2.5 Перейдём в impacket/examples и выполним оттуда команду ##   ## 2.6 Были получены хэши учётных записей. Выполним команду от имени ADMPetr ##    # Часть 3. Поиск следов эксплуатации уязвимостей # # 1.1 Прооверим журнал System, увидим ошибку Netlogon #  # 3.2 Проверим Security, увидим событие 4742. Произошло примерно в то же время что и прошлое событие #   # 3.3 Найдём событие 5823 в журнале System с помощью фильтра #  Событие произошло намного раньше. # 3.4 Найдём предшедствующее предыдущему событие легальное событие ведения в домене dc2 #  # 3.5 Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service #