免责声明: 该教程仅用于网络安全学习，如有人利用该技术从事违法犯罪行为一切和作者无关，请各位遵守法律法规!

简介

通常情况下，即使拥有管理员权限，也无法读取域控制器中的C:WindowsNTDSntds.dit文件。(活动目录始终访问这个文件，所以文件被禁止读取，文件被锁定。)

使用Windows本地卷影拷贝服务(volume Shadow Copy Server，VSS)，就可以获取文件的副本(类似于虚拟机的快照)。

ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit

ntds.dit介绍

1，ntds.dit文件是一个数据库，用于存储Active Directory数据，包括有关用户对象，组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值，可以使用诸如Mimikatz之类的工具执行哈希传递攻击，或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行，因此将无法检测到。一旦攻击者提取了这些散列，它们便可以充当域上的任何用户，包括域管理员。

2，在活动目录中，所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%ntdsntds.dit。ntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被操作系统锁定的。

3，在一般情况下系统运维人员会利用卷影拷贝服务(volume Shadow Copy Server，VSS)实现ntds.dit的拷贝，VSS本质上属快照(Snamshot)技术的一种，主要用于备份和恢复(即使目标文件被系统锁定)。

以下是两种影卷拷贝的方式，最后是提取文件中的hash值。

一、通过ntdsutil.exe提取ntds.dit

工具使用方法︰在域控制器的命令行环境下输入如下命令，创建一个快照，该快照包含Windows中的所有文件，且在复制文件时不会受到Windows锁定机制的限制。

1.1创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

1.2挂载快照

    生成快照后，挂载快照可以使得你能够查看和访问该快照的内容，就像它是一个真实的卷一样。挂载是指将快照映射到现有计算机系统的目录树中。也就是说，它允许你像浏览存储在任何存储设备上的文件和目录一样来查看和操作被保存在快照中的数据。

    简单来说，挂载快照就是把快照作为一个虚拟的"硬盘"(或者说"驱动器")连接到系统上。这样，你就可以像访问本地磁盘一样来访问快照中的所有文件，执行必要的操作，甚至可以复制这些文件到其他磁盘上或其他主机上。

ntdsutil snapshot "mount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

1.3复制ntds.dit

将快照中的ntds.dit文件提取出来！这样不受限制！

copy C:$SNAP_202211280955_VOLUMEC$WindowsNTDSntds.dit c:ntds.dit

快照和复制出来的ntds.dit都在C盘中。

快照中的内容是整个机器全部的内容。

1.4卸载快照

• 卸载快照是指将已经挂载到系统中的快照从目录树中移除的操作。

• 当你挂载一个快照后，它会被映射为一个虚拟的卷，可以通过系统来访问该快照中的文件和目录。当你完成对快照中数据的查看、操作或恢复后，可以选择卸载快照，将其从目录树中移除。

• 卸载快照并不影响快照本身的存在，只是不再让系统能够直接访问快照中的内容。

ntdsutil snapshot "unmount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

1.5删除快照

• 删除快照是指彻底删除存储设备上的快照文件。

• 快照通常是作为数据备份、故障恢复或版本控制的手段而存在的。当你不再需要某个特定的快照，或者由于存储空间的限制需要释放快照占用的空间时，可以选择删除快照。

• 删除快照将永久性地从存储设备上删除这些快照文件，并且无法恢复。

ntdsutil snapshot "delete {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

二、利用vssadmin提取ntds.dit

2.1 创建C盘影卷副本

vssadmin create shadow /for=c:

2.2 Copy出ntds.dit

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsntdsntds.dit c:ntds.dit

2.3 删除快照

vssadmin delete shadows /for=c: /quiet

三、解密并导出Hash

3.1 获取system.hive文件

最后还需要转储system.hive，system.hive中存放着ntds.dit的密钥，如果没有该密钥，将无法查看ntds.dit中的信息

reg save hklmsystem system.hive

3.2 impacket工具包导出hash

impacket工具包的下载地址

https://github.com/SecureAuthCorp/impacket

最后导出全部用户的hash

secretdump.py -system system.hive -ntds ntds.dit LOCAL

原文始发于微信公众号（猎洞时刻）：域渗透之影卷拷贝获取域内全部hash