Windows_Basic-Омаров_Джамалутин-Практика-3

###### tags: `Windows Basic` # Windows_Basic-Омаров_Джамалутин-Практика-3 *Выполнил Омаров Джамалутин* ## Практическая работа №3 ААА в Windows ### Часть 1. Анализ памяти Lsass.exe Проанализируем содержимое памяти процесса. Сделаем дамп, передадим на Kali и проанализируем с помощью mimikatz. Для более детального анализа для начала проведем эмуляции различных пользователей на Windows 10 Pro. Пароли для пользователей можно найти в файле скрипта, который добавлял OU, пользователей и группы во практике №2. 1.1 Зайдем под учетной записью Olga; ![](https://i.imgur.com/c2LTgeJ.png) 1.2 Попробуем обратиться к ресурсам домена; ![](https://i.imgur.com/Lixvnc9.png) 1.3 Выйдем из учетной записи Olga; ![](https://i.imgur.com/S4e1G9S.png) 1.4 Зайдем под учетной записью Petr; ![](https://i.imgur.com/MpJw229.png) 1.5 Запустим командную строку от имени администратора; ![](https://i.imgur.com/QK4RayM.png) 1.6 Так как Petr не является администратором, введем данные ADMPetr; ![](https://i.imgur.com/qRENu5Q.png) 1.7 Введем команду "whoami", чтобы проверить кто мы; ![](https://i.imgur.com/YE48eXv.png) 1.8 Теперь запустим диспетчер задач от имени администратора ADMPetr, используя его данные для входа; ![](https://i.imgur.com/8gyE9HB.png) 1.9 Откроем подробное представление, перейдем в подробности и найдем процесс lsass.exe; ![](https://i.imgur.com/pVA3OeI.png) 1.10 Нажимаем ПКМ по процессу lsass.exe и выберем пункт "создать файл дампа"; ![](https://i.imgur.com/q9qS6zg.png) 1.11 Дамп создан. Запомним его расположение; ![](https://i.imgur.com/IHUvh02.png) 1.12 Теперь используем Kali Linux, чтобы включить ssh и передать файл. Откроем консоль и повысим привилегии при помощи команды "sudo -i"; ![](https://i.imgur.com/Glru7B8.png) 1.13 Включим сервис ssh; ![](https://i.imgur.com/08agUQa.png) 1.14 Вернемся на Windows 10 Pro, с помощью командной строки, запущенной от имени ADMPetr передадим файл на Kali Linux. Необходимо подтвердить fingerprint (yes); ![](https://i.imgur.com/IOp0J8D.png) У меня ip адрес Kali Linux 192.168.10.51. 1.15 Введем пароль kali и увидем, что файл передан; ![](https://i.imgur.com/PJlEAmZ.png) 1.16 Проверим, что на Kali Linux файл присутствует; ![](https://i.imgur.com/epr89sR.png) 1.17 Переключимся в директорию с lsass и скачаем скрипт pypykatz. Для того, чтобы скачать скрипт с github, нам необходим выход в интернет: * Открываем VirtualBox * Выбираем настройки Kali Linux * Выбираем Сеть * Добавляем новый адаптер Nat * После чего в консоли командой "ip a" проверяем, назначен ли еще один ip для выхода в сеть Интернет ![](https://i.imgur.com/HBTaQhq.png) 1.18 Перейдем в директорию pypykatz и выполним скрипт, применив его к скаченному ранее дампу; ![](https://i.imgur.com/vosahLf.png) 1.19 Мы увидим учетные данные, которые скрипт достал из процесса lsass; ![](https://i.imgur.com/kGV9knZ.png) Память процесса lsass будет содержать учетные данные и ADMPetr, и Petr, так как эти пользователи были активны в момент создания дампа процесса. Под активностью понимается не только прямая сессия с ПК, но и действия, совершаемые по сети, а так же запуск процессов на ПК (как локальный запуск, так и удаленный). ### Часть 2. Кеширование данных в Windows Для того чтобы посмотреть кеш, скачал SysinternalsSuite - коллекцию инструментов от Microsoft для различных диагностик и устранения проблем в различных областях. 2.1 Запустим команду "PsExec64.exe -i -s regedit.exe", где: * regedit.exe - это редактор реестра * PsExec64.exe - это утилита для удаленного выполнения команд ![](https://i.imgur.com/oje1qHH.png) ![](https://i.imgur.com/7NwSubT.png) 2.2 Запустился реестр -> В папке Cache мы можем увидеть кешированные учетные данные пользователей; ![](https://i.imgur.com/s2d4EMV.png) Был осуществлен вход пользователями: Petr, Olga, Administrator, а так же в консоль и диспетчер задач с пользователя Petr от имени администратора ADMPetr. Поэтому присвоено не одно значение.