ntds.dit
ntds.dit为ad的数据库(C:\Windows\NTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。
离线获取ntds.dit
vss快照方式
vss即Volume Shadow Copy Service。win2003及以上有,用于创建数据备份的快照功能。
ntdsutil
查看当前快照列表和已经挂载的快照
ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
挂载快照