HackMD - Collaborative Markdown Knowledge Base

1.1 Проведу анализ базы NTDS Для начала сделаю бэкап NTDS при помощи команд: ntdsutil activate instance ntds ifm create full C:\temp ![](https://i.imgur.com/4mqh16n.png) После зашел на сервер Win с Kali и скопировал файлы на Linux с помощью следующих команд: ![](https://i.imgur.com/QOGDiYl.png) Далее скачал impacket при помощи следующих команд: git clone https://github.com/SecureAuthCorp/impacket apt install python3-pip cd impacket pip install . И выполнил следующую команду, чтобы проанализировать NDTS и посмотреть базу аутентификационых данных для объектов домена: python3 secretsdump.py -ntds /home/kali/temp/Active\ Directory/ntds.dit -system /home/kali/temp/registry/SYSTEM LOCAL ![](https://i.imgur.com/mdBhUcV.png) 1.2 Path-the-hash Здесь показаны атаки вида PtH (через учетную запись и хэш её пароля) Crackmapexec: Это набор python-скриптов используется для быстрого сканирования сети и обнаружения остов, как либо взаимодействующих с протоколом smb. Обнаружить его довольно сложно. ![](https://i.imgur.com/Z1CKACE.png) smbexec: утилита из impacket, позволяющая запустить cmd windows для удаленной передачи команд, при этом практически не оставляя следов. ![](https://i.imgur.com/Cb84F6V.png) XFreeRDP: При помощи хэша можно зайти по RDP, но для этого на сервере должен быть включен доступ по нему. ![](https://i.imgur.com/3YnNhVV.png) ![](https://i.imgur.com/fmv6314.png) Еще нам нужгоизменить политику restricted admin, т.к. она также блокирует доступ. Сделать это можно при помощи команды в PowerShell: New-ItemProperty -Path “HKLM:\System\CurrentControlSet\control\Lsa” -Name “DisableRestrictedAdmin” -Value “0” -PropertyType DWORD -Force ![](https://i.imgur.com/UpU6IJ5.png) И после этого можно будет спокойно зайти по RDP: ![](https://i.imgur.com/INgrzMx.png) 1.3 Атаки на базовые протоколы Windows Для этого буду использовать responder. Запущу анализ responder: ![](https://i.imgur.com/a7599Ex.png) И про попытке на доменном пк подключиться к несуществующему ресурсу, получаю информацию о запросах: ![](https://i.imgur.com/VZmnaqB.png) Далее запущу responder в режиме атаки: ![](https://i.imgur.com/JSdvkZR.png) И тогда при попытке подключиться к несуществующему ресурсу у пользователя появится следующее окно (responder притворяется этим ресурсом и просит пользователя авторизоваться): ![](https://i.imgur.com/uJw5kwP.png) И после этого он перехватываетаудентификационный токен: ![](https://i.imgur.com/XzqPKok.png) 2. Эксплуатация уязвимостей контроллера домена Для этого скачаем zerologon (git clone https://github.com/risksense/zerologon) и используем скрипт: ![](https://i.imgur.com/Ml55pkZ.png) Он обнулит пароль машинной учетной записи контроллера домена, после чего можно будет спокойно сдампить NTDS с помощью secretsdump: ![](https://i.imgur.com/iMDeAU2.png) и при поиощи полученных хэшей можно спокойно выполнять команды от любого пользователя: ![](https://i.imgur.com/x5QTnSB.png) 3. Поиск следов эксплуатации уязвимостей ![](https://i.imgur.com/91B3KOg.png) Так мы можем увидеть в Security событие 4742, говорящее о том, что ANONYMOUS LOGON изменил пароль: ![](https://i.imgur.com/Wmk9TFR.png) ![](https://i.imgur.com/k9w9BUW.png)