###### tags: `Windows` # Windows_Basic-Горбаконь_Кирилл-Практика-6 ## *Базовые атаки и компрометация доменной Windows-инфраструктуры.* ### Часть 1. Базовые атаки на инфраструктуру Windows. #### Этап 1. Анализ базы NTDS. * Захожу в командную строку от имени администратора и ввожу следующие команды.  * С помощью SMB захожу на сервер Win с Kali. После чего копирую файлы на Kali.  * Для анализа дампа для начала нужно скачать impacket. После установки нужно пройти из директории impacket в директорию examples (она внутри папки импакета) и выполнить следующую команду:  --- #### Этап 2. Path-the-hash. * Сканирую сеть для обнаружения хостов, как либо взаимодействующих с протоколом smb.   * Запускаю утилиту smbexec.  --- * Включаю удалённый доступ по RDP на dc1, доступ даю администраторам домена.  * Пробую зайти на dc1, подтверждаю сертификат.  * Вход по RDP успешно выполнен.  --- #### Этап 3. Атаки на базовые протоколы Windows. * Запускаю анализ через Responder.  * Доменный ПК пытается обратиться к несуществующему сетевому ресурсу.  * Анализатор видит LLNMR, NBNS запросы.  * Провожу атаку.  * Пользователь снова проходит по несуществующему пути. Responder притворяется этим ресурсом, поэтому видим окно аутентификации.  * Responder перехватывает аутентификационный токен.  --- * Устанаваливаю mitm6.  * Выполняю атаку.  * Настройки сетвеого адаптера pc1 до атаки:  * Настройки сетвеого адаптера pc1 после атаки:  * Не отключая mitm6 создаю SMB сервер.  * На Win10 заходим на наш домен через проводник.  * Видим аутентификационные данные в выводе программы.  ### Часть 2. Эксплуатация уязвимостей контроллера домена. * Активирую политику аудита машинных учетных записей и применяю к контроллерам домена.  * Устанавливаю эксплойт для zerologon.  * Перехожу в скачанную папку и читаю README.  * Нам предлагают использовать консткукцию для вызова эксплойта. Использую команду.  * Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуюсь этим, чтобы сдампить NTDS с помощью secretsdump.  * Команда не найдена. Скачиваю этот инструмент.  * Повторно выполняю команду.  * С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя.  --- ### Часть 3. Поиск следов эксплуатации уязвимостей. * Проверяю журнал System, нахожу ошибку Netlogon.  * Проверяю Security, нахожу событие 4742.  * Внимательно анализирую событие.  > В логе можно увидеть заполненное поле password last set -- это значит, что пароль был изменён. При легитимном взаимодействии пароль на машинной учетной записи может менять только NETWORK SERVICE. И, если это происходит, генерируется ещё одно событие с id 5823. * Нахожу событие 5823 в журнале System с помощью фильтра.  * Событие есть, но оно произошло намного раньше.  > Если поискать события 4742 за день, когда произошло 5823, то мы их найдём. Это легитимные события, связанные с введением в домен dc2. * Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service.