Burak user’ı volsys.com’ da domain admin’dir. Netsess.exe ile DC’deki session’lar control edilir ve burak user’ının bir PC’de oturum açtığı tespit edilir.

ATA’da alert oluşuyor.

Recep user’I, PC-7’de DC1’I kullanarak 2 account’u enumerate etti.

Enumerate olan account’lar Burak ve Recep. Yani bu account’lar DC ile aktif olarak görüştüğü tespit edildi.

Özetle, Burak domain admin ve 1.1.1.7 IP’li, PC-7-Admin isimli PC’de oturum açmış ve Hash’ini bırakmıştır.