ntds.dit
ntds.dit为ad的数据库(C:\Windows\NTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。
离线获取ntds.dit
vss快照方式
vss即Volume Shadow Copy Service。win2003及以上有,用于创建数据备份的快照功能。
ntdsutil
查看当前快照列表和已经挂载的快照
ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
挂载快照
ntdsutil