Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры

# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры > - [x] Часть 1. Базовые атаки на инфраструктуру Windows > > Этап 1. Анализ базы NTDS > > 1. Бэкап NTDS > > ![](https://i.imgur.com/v3rFAQs.png) > > 2. Перенос NTDS > > ![](https://i.imgur.com/zThcTz9.png) > > 3. Анализ NTDS > > ![](https://i.imgur.com/NJtr5iw.png) > > Здесь мы получили список хешей > > > > Этап 2. Path-the-hash > > 1. Crackmapexec > > ![](https://i.imgur.com/rutbE1r.png) > > ![](https://i.imgur.com/GbDlvLY.png) > > ![](https://i.imgur.com/EbklzFX.png) > > 2. XFreeRDP > > ![](https://i.imgur.com/tDkNGyu.png) > > ![](https://i.imgur.com/5sFYEmF.png) > > ![](https://i.imgur.com/JnMJOyN.png) > > ![](https://i.imgur.com/igvByeY.png) > > ![](https://i.imgur.com/VhDaw79.png) > > Этап 3. Атаки на базовые протоколы Windows > > ![](https://i.imgur.com/VnHCdtv.png) > > ![](https://i.imgur.com/fyAWzmo.png) > > ![](https://i.imgur.com/QdwJu9v.png) > > ![](https://i.imgur.com/6L0lAdj.png) > > ![](https://i.imgur.com/QofpqdG.png) > > ![](https://i.imgur.com/gi83LoB.png) > > mitm6 > > ![](https://i.imgur.com/fPdgbBv.png) > > Настройки сетевого адаптера pc1. Было: > > ![](https://i.imgur.com/G2F2OiL.png) > > Kali Linux. Атака > > ![](https://i.imgur.com/8R02Knn.png) > > Настройки сетевого адаптера pc1. Стало: > > ![](https://i.imgur.com/bQuSOpo.png) > > Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер: > > ![](https://i.imgur.com/pUw6b1O.png) > > Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер: > > ![](https://i.imgur.com/3dAOBaR.png) > > ![](https://i.imgur.com/hNbc1rn.png) > - [x] Часть 2. Эксплуатация уязвимостей контроллера домена > > 1. Проведем поиск по уязвимости zerologon и найдём множество репозиториев на github, в том числе и с эксплойтами > > 2. Скачаем один из них > > ![](https://i.imgur.com/Wb3P3iM.png) > > 3. Перейдем в скачанную папку и прочитаем README > > ![](https://i.imgur.com/gu9N06S.png) > > 4. Нам предлагают использовать конструкцию для вызова эксплойта. Используем команду > > ![](https://i.imgur.com/YuSgKDp.png) > > 5. Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdump > > 6. Команда не найдена. Значит, нужно скачать этот инструмент. Он находится в составе пакета пентестерских утилит impacket > > 7. Перейдём в impacket/examples и выполним оттуда команду > > ![](https://i.imgur.com/YdDiyG4.png) > > 8. С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя > > ![](https://i.imgur.com/rGbAVV2.png) > - [x] Часть 3. Поиск следов эксплуатации уязвимостей > > 1. Проверим журнал System, увидим ошибку Netlogon > > ![](https://i.imgur.com/0Xp3xet.png) > > 2. Проверим Security, увидим событие 4742 > > 3. Внимательно проанализируем событие > > ![](https://i.imgur.com/NUFif2o.png) > > 4. Найдём событие 5823 в журнале System с помощью фильтра > > 5. Событие есть, но оно произошло намного раньше > > ![](https://i.imgur.com/SaWeRPa.png) > > Можно искать события с помощью PowerShell: > > ![](https://i.imgur.com/IRp6CcW.png) > > 6. Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service > > ![](https://i.imgur.com/dioLrDA.png)