Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры

# Занятие 6. Базовые атаки и компрометация доменной Windows-инфраструктуры # Практическая работа №6.1 Базовые атаки на Windows-инфраструктуру. # Задание: 1) Провести анализ базы NTDS 2) Выполнить атаку “Path-the-hash” 3) Реализовать атаки на базовые протоколы Windows ___ # Часть 1. Базовые атаки на инфраструктуру Windows * 1.1 Бэкап NTDS ![](https://i.imgur.com/vvcInHW.png) * 1.2 Перенос NTDS ![](https://i.imgur.com/xVoH5Z4.png) * 1.3 Анализ NTDS Скачаем impacket,находясь в домашней директории ![](https://i.imgur.com/l7syPU2.png) ![](https://i.imgur.com/W0BiDOt.png) ![](https://i.imgur.com/8z1fSPE.png) ![](https://i.imgur.com/2Di6b2Y.jpg) ![](https://i.imgur.com/LHJV1io.png) После установки пройдем в директорию examples и выполнить команду:python3 secretsdump.py -ntds /home/kali/temp/Active\ Directory/ntds.dit -system /home/kali/temp/registry/SYSTEM LOCAL ![](https://i.imgur.com/NRXyST9.png) * Этап 2. Path-the-hash * 2.1 Crackmapexec Выполним команду crackmapexec smb 192.168.10.0/24 ![](https://i.imgur.com/uOPvWM0.png) После выполним команду от имени пользователя на удаленной машине с помощью командной строки ![](https://i.imgur.com/oHroEJO.png) * 2.2 XFreeRDP Включим удалённый доступ по RDP на dc1, доступ дадим администраторам домена ![](https://i.imgur.com/L2RQTBk.png) Запустим freerdp ![](https://i.imgur.com/qpAo1jw.png) Заходим на dc1 и подтверждаем сертификат ![](https://i.imgur.com/PdKAUZb.png) Изменим параметр реестра на dc1 ![](https://i.imgur.com/O5YYyuk.png) В event viewer видим выполнение ![](https://i.imgur.com/IaFmiiP.png) И успешно заходим. xfreerdp пускает нас с помощью хеша ![](https://i.imgur.com/WvpBcoa.png) Этап 3. Атаки на базовые протоколы Windows Запустим responder ![](https://i.imgur.com/HHrtVO8.png) ![](https://i.imgur.com/E8yDYd2.png) Подключимся к учетной записи Ольги на пк1 ![](https://i.imgur.com/bojWum3.jpg) Пытаемся пройти по несуществующему пути ![](https://i.imgur.com/1YlV95w.png) После попытки пройти по несущствующему адресу анализатор видит запросы ![](https://i.imgur.com/8Jxtaqs.png) Перейдем в режим атаки. Запустим responder ![](https://i.imgur.com/Ylktzse.png) Снова пройдем по несущесвующему пути ![](https://i.imgur.com/NktljgT.png) Видим, что респондер перехватывает аутентификационный токен ![](https://i.imgur.com/fwov3uq.png) MITM6 Устанавливаем mitm6 ![](https://i.imgur.com/PLVnJAH.png) Запустим mitm ![](https://i.imgur.com/9bQjJIW.png) Выполним атаку ![](https://i.imgur.com/57HszYi.png) После атаким появилась подозрительная запись в днс-серверы ![](https://i.imgur.com/GEjyHdC.png) Откроем консоль и создадим SMB сервер ![](https://i.imgur.com/CfyrVc1.png) Зайдем на домен pt.local и увидим подставную папку SMB ![](https://i.imgur.com/JaggGO7.png) Можем видеть,что получается при выводе программы ![](https://i.imgur.com/ldjfI45.png) # Практическая работа №6.2 Компрометация доменной Windows-инфраструктуры. # Задание: 1) Провести эксплуатацию уязвимостей контроллера домена 2) Найти следы эксплуатации уязвимостей ___ Активируем политику аудита машинных учетных записей ![](https://i.imgur.com/gD5ZxGj.png) Применим настройку ![](https://i.imgur.com/8ZvVRCL.png) # Часть 2. Эксплуатация уязвимостей контроллера домена Скачаем эксплойт для zerologon ![](https://i.imgur.com/5wFO096.png) Откроем README.md ![](https://i.imgur.com/RrQCOuZ.png) Используем конструкцию для вызова экспойла ![](https://i.imgur.com/0w4BCo0.png) Скрипт обнулил пароль машинной учетной записи контроллера домена. Воспользуемся этим, чтобы сдампить NTDS с помощью secretsdump ![](https://i.imgur.com/GNbZlB0.png) С помощью полученных хешей учетных данных можно выполнять команды от любого пользователя ![](https://i.imgur.com/ZwbC1zs.png) # Часть 3. Поиск следов эксплуатации уязвимостей Найдем ошибку Netlogon ![](https://i.imgur.com/XJtueaI.png) Проверим журнал “Security”, увидим событие 4742 ![](https://i.imgur.com/NFip2RR.png) Проанализируем ![](https://i.imgur.com/7MHSKt4.png) Увидим ANONYMOUS LOGON, что является досточно подозрительным, а также увидим заполненное поле password last set - это значит, что пароль был изменён. Найдем событие 5823. ![](https://i.imgur.com/pnZdcQn.png) Событие есть,но произошло намного раньше,значит оно легитимное. Если происходит дамп NTDS, то можно увидеть данные выгрузки в журнале Direcrory Service ![](https://i.imgur.com/qkr3Foo.png)