为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。 我们拿到Ntds.dit就能获取到域内所有用户的hash。...使用 Windows 本地卷影拷贝服务,就可以获得文件的副本(类似与虚拟机的快照) 使用卷影拷贝服务提取 ntds.dit 在活动目录中,所有的数据都保存在 ntds.dit 文件中。...只能管理系统 Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。...使用 ntdsutil 的 IFM 创建卷影拷贝 在使用 ntdsutil 创建 IFM 时,需要进行生成快照、加载、将 ntds.dit 和计算机的 SAM 文件复制到目标文件夹中等操作。...监控卷影拷贝服务的使用情况 通过监控卷影拷贝服务的使用情况,可以及时发现攻击者在系统中进行的一些恶意操作。 监控卷影拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。
什么是卷影拷贝?...备份软件、实用工具或Windows系统都可以使用这些卷影拷贝来恢复已被删除或以某种形式修改后的文件。...当我们使用卷影拷贝服务创建了一个备份文件时,它使用的是一种基于版本的方法备份的,即每次只备份文件中发生了变化的地方,而不是备份整个文件。...但是除此之外,我还发现这项服务可以用来恢复旧的游戏存档、已被勒索软件加密的文件、或自己不小心删除的文件。 在这篇文章中,我将给大家介绍两种使用卷影拷贝服务来恢复文件的方法。...在某种情况下,勒索软件还会使用PowerShell或WMIC命令来删除SVC,并以此来防止用户恢复那些已被勒索软件加密了的文件。
其获取Ntds.dit的基本步骤如下: 创建目标主机的卷影拷贝(包含Windows上的全部文件) 然后在创建的卷影拷贝中将ntds.dit复制出来 最后将当菜创建的卷影拷贝删除 利用vssadmin工具...vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息,显示已安装的所有卷影拷贝写入程序和提供程序,以及改变卷影拷贝的存储空间的大小等。...在已经获取到权限的域控制器上执行如下命令,创建一个C盘的卷影拷贝: vssadmin create shadow /for=C: 2....,以及启动和停止卷影拷贝服务。...PowerShell下的利用 DSInternals PowerShell模块提供了构建在框架之上的易于使用的cmdlet。
它可以用于创建或删除卷影副本,列出卷影副本的信息(只能管理系统Provider创建的卷影副本)。...04 使用NTDSUTIL的IFM创建卷影副本 可以按照方法(1)中的命令进行创建、挂载、复制、删除四个步骤完成ntds.dit的拷贝,也可以使用创建一个IFM的方式获取ntds.dit数据库文件,当我们使用...05 使用diskshadow导出ntds.dit 参照微软官方文档解释:“DiskShadow.exe这款工具可以使用卷影拷贝服务(VSS)所提供的多个功能。...防御: 1.监控卷影拷贝服务(VSS)的使用,检测卷影拷贝活动以及任何涉及到活动目录数据库文件(ntds.dit )的可疑操作行为。...2.监控System Event ID 7036(卷影拷贝服务进入运行状态的标志)的可疑实例以及VSSVC.exe进程的创建事件。 3.监控diskshadow.exe以及相关子进程的进程创建事件。
windows的本地卷影拷贝就可以获得文件的副本 什么是卷影拷贝:卷影拷贝服务(Volume Shadow Copy Service,VSS)是Microsoft在Windows XP中开始引入的服务,...Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序( writers )和提供程序( providers ),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等 操作vssadmin...需要域管理员权限了 1.创建一个C盘的卷影拷贝 vssadmin create shadow /for=c: 2.将创建的卷影拷贝中的ntds.dit复制出来到c盘 copy 卷影副本卷名\windows...这款工具可以使用卷影拷贝服务(VSS)所提供的多个功能。...通过监控卷影拷贝服务的使用情况,可以及时发现攻击者在系统中进行的一些恶意操作。
在 PowerShell 可以很容易使用 WMI 拿到系统的信息,如果有关注我的网站,就会发现我写了很多通过 WMI 拿到系统的显卡,系统安装的软件等方法,本文告诉大家如果通过 PowerShell 拿到...WMI 类里面的属性 在 Windows 系统通过 Windows Management Instrumentation (WMI) 统一管理系统的配置,在 PowerShell 能使用 WMI 的功能进行获取系统...很少有人知道 WMI 里面包含了多少可以使用的类,包括我之前写的很多博客,实际上也只是里面的很少,通过下面的例子告诉大家如何获取设备里面包含的类 获取 WMI 类 在使用 WMI 之前需要知道 WMI...-List 在 Windows 10 设备,右击开始菜单,打开 PowerShell 输入上面代码,就可以看到输出 在 Get-WmiObject 的参数可以加上计算机是哪个,支持访问局域网可以访问的计算机的信息...WMI 类的简洁属性,可以通过这个格式 Get-WmiObject -Class 某个类 具体的类可以通过 Get-WmiObject -List 找到 获取某个类里面包含的所有属性,通过这个格式
影响平台:Windows 侵害的用户:任何组织 威胁程度:高 为了令勒索攻击实施有效,勒索软件进行的一个常见行动是卷影备份(即影子副本),从而使受害者无法恢复任何已加密的文件。...VSS架构 在我们开始之前,关于卷影复制架构,有几个重要元素读者应该熟悉。 卷影复制服务(VSS):该服务负责协调执行影子复制相关操作的实体之间的所有动作,如相关的编写者和提供者。...如果现有的快照超过了新调整的diff区域的大小,提供者就会放弃快照以释放空间,如图2中的文档所解释的那样。(注意,设置的最小可能大小是320MB) 。 注意,使用VSS需要管理员权限。 ?...PowerShell的高级使用 虽然我们还没有遇到任何使用这个的勒索软件,但可以使用CIM cmdlets来代替WMI的。...使用ProcMon,我们可以很容易地跟踪提供者执行的操作。 1.打开影子拷贝卷的句柄(例如:\Device\HarddiskVolumeShadowCopy1)。
Copy-VSS Copy-VSS -DestinationDir C:\Ninja PowerSploit PowerSploit利用PowerShell脚本通过卷影备份服务创建可用于提取文件的新卷...脚本文件可以包含以下行,以便创建新的卷影副本,装入新驱动器,执行复制命令并删除卷影副本。...然后,它远程执行复制命令,以便将卷影副本中的NTDS.DIT文件解压缩到目标系统上的另一个目录中。...vssadmin 卷影副本是Windows命令行实用程序,使管理员可以备份计算机,卷和文件,即使它们正在被操作系统使用。...vssown 与vssadmin实用程序类似,它是一个可视化基本脚本,可以创建和删除卷影副本,从卸载的卷影副本运行任意可执行文件,以及启动和停止卷影复制服务。
大家好,这里是 渗透攻击红队 的第 34 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更 dcsync 获取域内用户哈希值 mimikatz 转储哈希值 mimikatz...有一个 dcsync 功能,可以利用卷影拷贝服务直接读取 ntds.dit 文件并检索域散列值。...前提必须使用管理员权限运行 mimikatz 才可以读取 ntds.dit。...使用 mimikatz 的 dcsync 功能也可以导出指定用户的散列值,导出用户 mary 的散列值: lsadump::dcsync /domain:god.org /user:mary ?...如果用户数量太多,mimikatz 无法完全显示出来,可以先执行 log(会在mimikatz目录下生成一个文本文件,用于记录mimikatz的所有执行结果) ---- powershell dcsync
管理工具,可以用于创建和删除卷影拷贝,拷贝,列出卷影拷贝的信息、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间的大小等. 1.创建一个C盘的卷影拷贝...以及启动和停止卷影拷贝服务 //启动卷影拷贝服务 cscript vssown.vbs /start //创建一个C盘的卷影拷贝 cscript vssown.vbs /create c //列出当前卷影拷贝.../tree/master/windows 1.启动卷影拷贝服务 2.列出当前目录下的卷影拷贝,并复制出其中的ntds.dit文件 1.4 使用ntdsutil 的 IFM 创建卷影拷贝 在使用ntdsutil...1.6 监控卷影拷贝服务的使用情况 监控卷应拷贝服务以及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为 监控System Event ID 7036(卷影拷贝服务进入运行状态的标志)的可疑实例...dcsync获取域散列值 使用mimikatz转储域散列值 mimikatz有一个dcsync功能,可以利用卷影拷贝服务直接读取ntds.dit文件并检索域散列值。
获取一台主机的本地管理员组成员账号的口令NTLM后,无法破解密码,使用PTH方法将管理员账号及NTLM注入当前会话作为凭据,利用该凭据可以渗透获取周围的主机的管理权限,如果对方存在相同账号及密码,进行密码碰撞是可以获取到这些主机权限的...\ipc$ "123456" /user:"safe-duck\administrator" 2.psexec对域控执行命令查看域控是否建立了卷影副本 psexec \\192.168.1.11 -u...当前没有卷影副本,则需要手工创建。...4.复制卷影副本到本地 ①将ntds文件拷贝到本地服务器 psexec \\192.168.1.11 -u "safe-duck\administrator" -p "123456" -h cmd /c...5.将拷贝的卷影副本文件放进kali,使用工具读取ntds文件hash内容。
提取的密码信息如下: ? Empire PowerShell Empire 有两个模块可以通过 DCSync 获取域内哈希。这两个模块都需要以域管理员的权限执行。...DiskShadow DiskShadow 是一个微软签名的二进制文件,用于协助管理员进行与卷影复制服务(VSS)相关的操作,将以下内容保存在 diskshadow.txt 内: 然后执行: diskshadow.exe...运行以下命令将列出系统所有可用的卷影副本: diskshadow LIST SHADOWS ALL ?...在 cmd 上执行下面的命令,制作 C 盘的卷影: vssadmin create shadow /for=C: ?...vssown 与 vssadmin 类似,vssown 是一个 vbs 脚本,可以创建和删除卷影副本,使用方式如下: cscript vssown.vbs /start cscript vssown.vbs
No.1 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。...文件,后续还会有其他工具的使用方法。...卷影副本 卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。...成功地创建了 'c:\' 的卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c} 卷影副本卷名: \\?...确实要删除 1 卷影副本吗(Y/N): [N]? Y 成功地删了 ? 打包拷贝!Get END
2. vssadmin导出NTDS.ditvssadmin list shadows // 查看当前系统卷影拷贝第一步,创建C盘卷影拷贝(ntds.dit文件所在磁盘)vssadmin create shadow.../for=c:第二步,从卷影拷贝中复制出来ntds和systemcopy \?...-d ntds.dit -s system -o domain.txt此外可以利用 vssadmin list shadows 查看卷影拷贝。...取证视角在直接使用卷影拷贝服务器dump ntds.dit的过程中只产生了两条VSS服务的日志记录,对比之前ntdsutil少了美剧本地安全组的相关操作。...脚本文件可以包含以下行,以便创建新的卷影副本、装载新驱动器、执行复制命令并删除卷影副本。
2. vssadmin导出NTDS.dit vssadmin list shadows // 查看当前系统卷影拷贝 第一步,创建C盘卷影拷贝(ntds.dit文件所在磁盘) vssadmin create...shadow /for=c: 第二步,从卷影拷贝中复制出来ntds和system copy \?...\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\system32\config\SYSTEM SYSTEM 第三步,删除先前创建的C盘卷影拷贝...取证视角 在直接使用卷影拷贝服务器dump ntds.dit的过程中只产生了两条VSS服务的日志记录,对比之前ntdsutil少了美剧本地安全组的相关操作。...脚本文件可以包含以下行,以便创建新的卷影副本、装载新驱动器、执行复制命令并删除卷影副本。
请注意 Powershell 实用程序的 select 使用,与没有它相比,它显着扩展了输出。...这将包括本地域、当前域、受信任域和受信任群: 13 系统机密 当涉及到侦察时,系统机密再次成为枚举的有用信息。如果在系统上有足够的权限,那么就可以创建磁盘的卷影副本并尝试从那里提取机密。...但在此之前,对于那些不熟悉卷影副本的人: 卷影拷贝是 Microsoft Windows 中的一项技术,可以创建计算机文件或卷的备份副本或快照,即使它们正在使用中 为了卷影与副本进行交互,有 2 种可用的方法...,如下图所示: 快速创建卷影副本很容易,只需要指定创建副本的卷和上下文: (Get-WmiObject -Class win32_shadowcopy -List).create("C:\", "ClientAccessible...+ "/" cmd /c mklink /d C:\shadowcopy "$link" 一旦准备好使用卷影副本,那就可以简单地使用 -Thorough 选项运行诸如 Invoke-SessionGopher.ps1
在这种情况下,我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝,然后下载进行离线分析和破解用户哈希。...02、利用VSS实现ntds.dit文件提取 (1)vssadmin Windows卷影工具,使用Vssadmin来管理VSS,用来创建和删除卷影拷贝。...#创建一个新的卷影副本 vssadmin create shadow /for=c: #将ntds.dit文件复制到新的位置 copy \\?...,github下载地址: https://github.com/lanmaster53/ptscripts/blob/master/windows/vssown.vbs #启动卷影拷贝服务 cscript...vssown.vbs /start #创建一个C盘的卷影拷贝 cscript vssown.vbs /create c #列出卷影考本 cscript vssown.vbs /list #将目标文件复制出来
在实际网络环境中,攻击者渗透内网的终极目标是获取域控制器的权限,从而控制整个域 一、使用卷影拷贝服务提取ntds.dit 在活动目录中,所有的数据都被保存在ntds.dit文件中 ntds.dit...管理工具 //创建C盘的卷影拷贝 vssadmin create shadow /for=c: //复制ntds.dit copy \\?...调用执行该文件,使用更为灵活,文本如下: //设置卷影拷贝 set context persistent nowriters //添加卷 add volume c: alias someAlias //...list shadows all //重置 reset //退出 exit 6、防范 通过监控卷影拷贝服务的使用情况,可以及时发现攻击者在系统中进行的恶意操作: 监控卷影拷贝服务及任何涉及活动目录数据库文件...ntdsxtract https://github.com/zcgonvh/NTDSDumpEx 三、利用dcsync获取域散列值 mimikatz有个dcsync功能,可以利用卷影拷贝服务VSS
具体详细资料查看: https://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx 使用VSS卷影副本 什么是卷影副本?...卷影副本,也称为快照,是存储在Data Protection Manager(DPM)服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享,文件夹和文件的完整时间点副本。...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...@# process call create "cmd /c copy 卷影IDWindowsNTDSNTDS.dit C:windowstempNTDS.dit 2>&1" ?...使用NTDSUTIL的IFM创建(VSS卷影副本)在DC上本地引用NTDS.DIT NTDSUtil是本地处理AD DB的命令实用程序(ntds.dit),并为DCPromo启用IFM集创建.IFM与DCPromo
不过使用 Windows 本地卷影拷贝服务,就可以获得文件的副本(类似于虚拟机的快照) 1、使用卷影拷贝服务提取 ntds.dit ntdsutil ntdsutil 是一个为活动目录提供管理机制的命令行工具..."List All" quit quit vssadmin vssadmin 可用于创建和删除卷影拷贝、列出卷影的信息(只能管理系统 Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序...vssadmin 的使用流程和 ntdsutil 差不多,首先创建一个 C 盘的卷影拷贝 vssadmin create shadow /for=C: 在创建的卷影拷贝中将 ntds.dit 复制出来...vssadmin 类似,可用于创建和删除卷影拷贝以及启动和停止卷影拷贝服务。...cscript vssown.vbs /start 创建一个 C 盘的卷影拷贝 cscript vssown.vbs /create c 列出当前卷影拷贝 cscript vssown.vbs /list
领取专属 10元无门槛券
手把手带您无忧上云