# Windows_Basic-Малышев_Роман-Практика-6 *Выполнил Малышев Роман* ## Часть 1. Базовые атаки на инфраструктуру Windows ### Этап 1. Анализ базы NTDS 1.1 **Бэкап NTDS**. Воспользуемся базовыми средствами Windows для работы с NTDS. Зайдем в командную строку от имени администратора и введем команды:  В директории C:\temp увидим созданные файлы дампа.  1.2 **Перенос NTDS**. Воспользуемся базовыми средствами Kali Linux. С помощью SMB зайдём на сервер Win с Kali: 1.3 **Анализ NTDS**. Сначала для анализа NTDS скачаем impacket.   Проанализируем инстанс базы данных NTDS: ntds.dit.  ### Этап 2. Path-the-hash 2.1 **Crackmapexec**. Просканируем сети и обнаружим хосты, которые как либо взаимодействуют с протоколом smb.  Можно выполнять команды от имени пользователя на удаленной машине посредством командной строки и посмотреть список сетевых папок, доступных конкретному пользователю.  А ещё в impacket есть интересная утилита smbexec, позволяющая запустить cmd windows для удаленной передачи команд, при этом практически не оставляя следов:  2.2 **XFreeRDP**. С хешем можно зайти даже по RDP (Remote Desktop Protocol). Но для начала включим удалённый доступ по RDP на dc1, доступ дадим администраторам домена  Попробуем зайти на DC1 (на первом скрине в конце хэша забыл убрать двоеточие, поэтому не получилось, а второй уже правильный).   Действует политика restricted admin.  Изменим параметр реестра на dc1.  Кстати, ведь у нас включена политика аудита PoSH -- там можно увидеть выполнение этой команды.  После чего xfreerdp спокойно пускает нас с помощью хеша. ### Этап 3. Атаки на базовые протоколы Windows 3.1 **Анализ инфраструктуры через responder**. Запустим анализ Responder.  На доменном ПК попытаемся обратится к несуществующему сетевому ресурсу.  Анализатор видит LLNMR, NBNS запросы.  Режим атаки:  Пользователь снова проходит по несуществующему пути. Responder притворяется этим ресурсом, поэтому видим окно аутентификации. Responder перехватывает аутентификационный токен.   **mitm6**. Атака имитирует DHCPv6 сервер и отправляет на компьютеры в сети параметры IPv6, которые используются в приоритете над IPv4 при отправке компьютеров данных по сети. Установим mitm6. Выполнение атаки: Посмотрим настройки сетевого адаптера pc1 до атаки.  Атака с Kali Linux.  Настройки сетевого адаптера pc1.  Пока что мы только подменили параметры у win10, обеспечив mitm. Чтобы атака прошла незаметно для пользователя, нужно воспользоваться способом, который позволит нам прикинуться ресурсом, который требует аутентификацию. Воспользуемся SMB. Создание своего сервера SMB.  А на Win10 через проводник попробуем зайти на наш домен. Увидим данные аутентификации в выводе программы.  ## Часть 2. Эксплуатация уязвимостей контроллера домена Для начала активируем политику аудита машинных учетных записей и применим к контроллерам домена.   2.1 Проведем поиск по уязвимости zerologon и найдём множество репозиториев на github, в том числе и с эксплойтами.  2.2 Скачаем один из них.  2.3 Перейдем в скачанную папку и прочитаем README.  2.4 Нам предлагают использовать консткукцию для вызова эксплойта. Используем команду.  2.5 Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdump.  2.6 С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя.  ## Часть 3. Поиск следов эксплуатации уязвимостей 3.1 Проверим журнал System, увидим ошибку Netlogon.  3.2 Проверим Security, увидим событие 4742.  Проанализируем событие: ANONYMOUS LOGON уже вызывает подозрения. А ещё в логе можно увидеть заполненное поле password last set - это значит, что пароль был изменён. При легитимном взаимодействии пароль на машинной учетной записи может менять только NETWORK SERVICE. И, если это происходит, генерируется ещё одно событие с id 5823 . 3.3 Найдём событие 5823 в журнале System с помощью фильтра.  3.4 Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service.