# OS Windows & AD basic - 6 PT-Start Турлуев Адам ### Занятие 6.1 Воспользуемся базовыми средствами Kali Linux. С помощью SMB зайдём на сервер Win с Kali.После чего скопируем файлы на Kali   Для анализа дампа для начала нужно скачать impacket  После установки нужно пройти из директории impacket в директорию examples (она внутри папки импакета) и выполнить следующую команду:python3 secretsdump.py -ntds /home/kali/temp/Active\ Directory/ntds.dit -system /home/kali/temp/registry/SYSTEM LOCAL  Использование crackmapexec  Можно выполнять команды от имени пользователя на удаленной машине посредством командной строки:crackmapexec smb 192.168.10.201 -u Administrator -H hash -x whoami  Можно посмотреть и список сетевых папок, доступных конкретному пользователю:crackmapexec smb 192.168.10.201 -u Administrator -H hash --shares  А ещё в impacket есть интересная утилита smbexec, позволяющая запустить cmd windows для удаленной передачи команд, при этом практически не оставляя следов:python3 smbexec.py PT/administrator@192.168.10.200 -hashes aad3b435b51404eeaad3b435b51404ee:05df2fd1109e3d3b60f110965f6af128  С хешем можно зайти даже по RDP. Для этого используется следующая команда.Но для начала включим удалённый доступ по RDP на dc1, доступ дадим администраторам домена  пробуем зайти  Действует политика restricted admin Изменим параметр реестра на dc1  После чего xfreerdp спокойно пускает нас с помощью хеша   NBT-NS & LLMNR & mDNS Важной частью эксплуатации будет WPAD -- специальный протокол для настройки проксирования в системе Win. Система всегда запрашивает файл с настройками wpad.dat, а злоумышленник может подсунуть свой файл, став прокси-серверов для Win и таким образом осуществив атаку "человек посередине". NBT-NS (NetBIOS Name Service) -- протокол, позволяющий компьютерам в локальной сети обращаться друг к другу по именам, не используя сервер DNS. LLMNR (Link-Local Multicast Name Resolution) -- протокол для поиска и преобразования базовых имен внутри небольшой сети. Он же -- сетевое обнаружение. Использует мультикаст (то есть почти как широковещательный трафик, его в сети смогут увидеть все). mDNS (Multicast DNS) -- суть такая же, как и у LLMNR. DNS через Мультикаст. Все вместе технологии реализуют Zeroconf. Основная уязвимость в этих протоколах -- отсутствие подтверждения информации. Мы можем сгенерировать любой ответ на запрос ПК по этим протоколам.    Режим атаки  Пользователь снова проходит по несуществующему пути  Responder притворяется этим ресурсом, поэтому видим окно аутентификации Responder перехватывает аутентификационный токен  Данный токен можно подвергнуть брутфорсу. ### mitm6 Атака имитирует DHCPv6 сервер и отправляет на компьютеры в сети параметры IPv6, которые используются в приоритете над IPv4 при отправке компьютеров данных по сети  Настройки сетевого адаптера pc1. Было:  Kali Linux. Атака  Настройки сетевого адаптера pc1. Стало:  Пока что мы только подменили параметры у win10, обеспечив mitm. Чтобы атака прошла незаметно для пользователя, нужно воспользоваться способом, который позволит нам прикинуться ресурсом, который требует аутентификацию. Воспользуемся SMB. Создание своего сервера SMB. Не отключая mitm6, создадим SMB сервер  А на Win10 через проводник попробуем зайти на наш домен  Увидим данные аутентификации в выводе программы  Эти аутентификационные данные уже можно вскрывать с помощью hashcat или John the ripper. Это не чистый хэш пароля, а аутентификация по протоколу NTLMv2 ### Занятие 6.2 Для начала нужно активировать политику аудита машинных учетных записей и применить к контроллерам домена  применяем политику  Проведем поиск по уязвимости zerologon и найдём множество репозиториев на github и скачаем один из них   Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdump. Скачиваем его.  Выполняем команду python3 secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'PT/DC1$@192.168.10.200'  С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя crackmapexec smb 192.168.10.200 -u ADMPetr -H 05df2fd1109e3d3b60f110965f6af128 -x whoami  ### Поиск следов эксплуатации уязвимостей Проверим журнал System, увидим ошибку Netlogon  Проверим Security, увидим событие 4742  Внимательно проанализируем событие Во-первых, ANONYMOUS LOGON -- уже довольно подозрительный факt Ещё в логе можно увидеть заполненное поле password last set -- это значит, что пароль был изменён. При легитимном взаимодействии пароль на машинной учетной записи может менять только NETWORK SERVICE. И, если это происходит, генерируется ещё одно событие с id 5823 Найдём событие 5823 в журнале System с помощью фильтра  Событие есть, но оно произошло намного раньше  Если поискать события 4742 за день, когда произошло 5823, то мы их найдём. Это легитимные события, связанные с введением в домен dc2 Можно искать события с помощью PowerShell: Get-WinEvent –FilterHashTable @{LogName=’Security’;ID=4742}Get-WinEvent –FilterHashTable @{LogName=’System’;ID=5805} Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service.