HackMD - Collaborative Markdown Knowledge Base

## Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры ## Задание к практической работе 6.1: 1) Провести анализ базы NTDS 2) Выполнить атаку “Path-the-hash” 3) Реализовать атаки на базовые протоколы Windows Бэкап NTDS. Набор команд активирует процесс Install From Media, позволяющий сделать копию NTDS с необходимыми ветками реестра. Рисунок 1 ниже. ![](https://i.imgur.com/nzXFYiC.png) Рисунок 1 Перенесли NTDS на kali с помощью SMB. Зашли с kali на Win по SMB, на рисунке 2 продемонстрированы команды. ![](https://i.imgur.com/i44OTyd.png) Рисунок 2 Анализ NTDS. Скачаем impacket для анализа дампа, рисунок 3 ниже. ![](https://i.imgur.com/LufAmy0.png) Рисунок 3 Установили python3-pip, рисунок 4 ниже. ![](https://i.imgur.com/jesjw4I.png) Рисунок 4 Выполнили pip install ., рисунок 5 ниже. ![](https://i.imgur.com/rLTBSPq.png) Рисунок 5 Выполнили команду на рисунке 6. Указали ветку реестра, с помощью ее можем прочитать NTDS, LOCAL - для локального анализа NTDS. ![](https://i.imgur.com/SFdBW07.png) Рисунок 6 Path-the-hash. С помощью crackmapexec сканируем сеть и обнаруживаем хостов. Рисунок 7 ниже. ![](https://i.imgur.com/w90jxX1.png) Рисунок 7 Так же можно выполнять команды от имени пользователя на удаленной машине. Рисунок 8 ниже. ![](https://i.imgur.com/YIDGHYB.png) Рисунок 8 На рисунке 9 можно смотреть список сетевых папок, доступных конкретному пользователю. Рисунок ниже. ![](https://i.imgur.com/CX9OFbR.png) Рисунок 9 Smbexec позовляет запустить cmd windows для удаленной передачи команд. Рисунок 10 ниже. ![](https://i.imgur.com/asIetmJ.png) Рисунок 10 XFreeRDP. С хешем можно зайти по RDP. Включили удаленный доступ по RDP на dc1 и дали доступ администраторам, рисунок 11 ниже. ![](https://i.imgur.com/nRJZEKY.png) Рисунок 11 Заходим на dc1, рисунок 12 ниже. ![](https://i.imgur.com/QEqKtoP.png) Рисунок 12 Подтвердили сертификат, рисунок 13 ниже. ![](https://i.imgur.com/7Kjsf4d.png) Рисунок 13 Действует политика restricted admin, рисунок 14. ![](https://i.imgur.com/aF4QIAv.png) Рисунок 14 Изменили параметр реестра на dc1, рисунок 15 ниже. ![](https://i.imgur.com/jbxvdqJ.png) Рисунок 15 Пустили с помощью хеша, рисунок 16 ниже. ![](https://i.imgur.com/0kB15Gl.png) Рисунок 16 Запустили анализ Responder, рисунок 17 ниже. ![](https://i.imgur.com/2qMT0i7.png) Рисунок 17 Обратились к несуществуемому сетевому ресурсу, рисунок 18 ниже. ![](https://i.imgur.com/fymuFZz.png) Рисунок 18 Анализатор видит LLNMR, NBNS запросы, рисунок 19 ниже. ![](https://i.imgur.com/t8jKtv3.png) Рисунок 19 Запустили responder, где w - отравление WPAD, F - принуждение использовать старые протоколы аутентификации, v - вывод подробной информации(в т.ч. перехваченного хеша). Рисунок 20 ниже. ![](https://i.imgur.com/vxMev9B.png) Рисунок 20 Пользователь снова проходит по несуществующему пути, рисунок 21 ниже. ![](https://i.imgur.com/pesRstQ.png) Рисунок 21 Перехватывание аутентификационного токена, рисунок 22 ниже. ![](https://i.imgur.com/mE3lDrp.png) Рисунок 22 Mitm6. Атака имитирует DHCPv6 сервер и отправляет на компьютеры в сети параметры IPv6, которые используются в приоритете над IPv4 при отправке компьютеров данных по сети. Настройки сетевого адаптера pc1 до атаки, рисунок 23. ![](https://i.imgur.com/I5PPi6v.png) Рисунок 23 Выполнили атаку, рисунок 24. ![](https://i.imgur.com/gWioaiQ.png) Рисунок 24 Настройки сетевого адаптера pc1 после атаки, рисунок 25. ![](https://i.imgur.com/3lK9el9.png) Рисунок 25 Создание нового сервера SMB, рисунок 26 ниже.(к сожалению, забыл сначала сделать скриншот без перехваченных аутентификаций, поэтому в этом скриншоте сразу и создание и перехват идет). ![](https://i.imgur.com/NQ4exP6.png) Рисунок 26 На Win10 через проводник заходим в домен, рисунок 27 ниже. ![](https://i.imgur.com/fedOLDE.png) Рисунок 27 Видим данные аутентификации на рисунке 28 ниже. ![](https://i.imgur.com/NQ4exP6.png) Рисунок 28 ## Задание к практической работе 6.2: 1) Провести эксплуатацию уязвимостей контроллера домена 2) Найти следы эксплуатации уязвимостей Для начала активировали потилику аудита машинных УЗ и применили к контроллерам домена, рисунок 29 ниже. ![](https://i.imgur.com/XDVYfAY.png) Рисунок 29 Скачали один из них, рисунок 30. ![](https://i.imgur.com/jt5N3jj.png) Рисунок 30 Использовали конструкцию для вызова эксплойта, рисунок 31 ниже. ![](https://i.imgur.com/nv5ojjq.png) Рисунок 31 Прочитали файл README и видим хеш, рисунок 32 ниже. ![](https://i.imgur.com/MVAW3fr.png) Рисунок 32 Скачали инструмент, рисунок 33 ниже. ![](https://i.imgur.com/gnli2gl.png) Рисунок 33 Выполнили команду и получили хеши учетных данных, рисунок 34 ниже. ![](https://i.imgur.com/QSiAIs6.png) Рисунок 34 Далее можем выполнять команды от любого пользователя, рисунок 35 ниже. ![](https://i.imgur.com/Ee5iMZk.png) Рисунок 35 ## Часть 3. Поиск следов эксплуатации уязвимостей Проверили журнал System и увидели ошибку Netlogon, рисунок 36 ниже. ![](https://i.imgur.com/9QqFptp.png) Рисунок 36 Проверили Security и увидели событие 4742, рисунок 37 ниже. ![](https://i.imgur.com/l4J9UbW.png) Рисунок 37 Более детально увидели событие и видно "ANONYMOUS LOGON", это выглядит странно. Также видно поле password last set - это значит что, пароль был изменен. Рисунок 38 ниже. ![](https://i.imgur.com/XDECH43.png) Рисунок 38 Для удобства по фильтру отберем событие 5823 в журнале System. Это событие означает, что система успешно изменила свой пароль на контроллере домена. Рисунок 39 ниже. ![](https://i.imgur.com/kNqbh16.png) Рисунок 39 Также можно искать события с помощью PowerShell, рисунок 40 ниже. ![](https://i.imgur.com/4h3cQ6E.png) Рисунок 40