eseDBexport的使用

最新推荐文章于 2024-02-02 13:56:00 发布
最新推荐文章于 2024-02-02 13:56:00 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 编程学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee_ham/article/details/81778573
版权

eseDBexport的使用

最近的一个任务中需要对一种.dat的数据库进行解析:WebCacheV01.dat,是windows10平台下存储系统浏览器cache、history等信息的数据库文件。

打开工具:ESEDatabaseView.exe

导出工具:esedbexport(下载地址:libesedb)

libesedb的全部功能我还没有完全弄明白,这次主要就是使用了其中的esedbexport工具。

介绍libesedb与edb文件

libesedb is a library to access the Extensible Storage Engine (ESE) Database File (EDB) format.

The ESE database format is used in may different applications like Windows Search, Windows Mail, Exchange, Active Directory, etc.

简单介绍eseDBexport在libesedb中的角色

以下是我个人的理解:libesedb是一个库,本是应用于linux平台下的。本文旨在在windows平台上使用其中的功能,用Visual studio 2017打开/msvscpp目录中的solution可以发现其中共包含了44个项目。本文要使用的esedbexport是其中的一个,但它又不是独立存在的,与其他的项目之间存在着千丝万缕的联系。

可以将esedbexport这个项目编译成exe可执行文件,然后就可以在windows平台上运行了。

编译eseDBexport

https://github.com/libyal/libesedb/wiki/Building

该文中介绍了很多种方法来编译eseDBexport,这也是使用eseDBexport的关键所在,这部分差点阻挡了我前进的脚步,还好有小伙伴对我的鼓励:smiley:

接下来分别介绍我在linux平台和windows平台上成功运行esedbexport的过程

Linux

Linux平台上的编译、安装和运行都比较方便,按照github上的过程就可以了,此外还有很多将esedbexport用于渗透测试的教程,里边也有很详细的使用过程。

这里我使用的不是官网上的教程,来源:从NTDS.dit获取密码hash的三种方法

wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz
tar xf libesedb-experimental-20170121.tar.gz
cd libesedb-20170121
apt-get install autoconf automake autopoint libtool pkg-config
./configure
make
make install
ldconfig

整个过程都比较方便,安装完成后,我们就可以利用该工具从WebCacheV01.dat文件中转储表格了。命令如下:

esedbexport -m tables WebCacheV01.dat

也可以通过esedbexport help查看使用说明。

上边的命令会在esedbexport文件目录下生成一个WebCacheV01.dat.export目录,该目录下即为导出的多个表格。

也可以指定输出目录:

esedbexport -m tables -t 目标文件 WebCacheV01.dat
Windows

原文中提供了三种在windows下编译libesedb的方式:

  • MinGW。如果使用MinGW会生成:libesedb-1.dll文件、esedbexport.exe、esedbinfo.exe。按理应该是这样的,我尝试的时候可能是因为还不知道dll和exe之间如何合作,,,,,,,,未果。现在看来,生成的esedbexport应该是直接可执行的……有机会的话再试试啊

  • MSYS-MinGW。如果使用msys的话,应该是可以安装好的(它的整个过程和linux平台上基本一致,包括命令也很像,这里需要注意的是一个平台的兼容问题)。后边有句话就不是很理解了:

    Make sure you use define LIBESEDB_DLL_IMPORT before including

leehaming
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali更新hash值命令_导出域内 ntds.dit 中的所有用户哈希值
weixin_39859394的博客
12-31 757
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 33篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更esedbexport 恢复 ntds.dit导出 ntds.dit用kali下载工具安装:#下载libesedbwget https://github.com/libyal/libesedb/releases/download/...
WebView Cache 缓存清除
moubenmao的专栏
12-02 1万+
当我们加载Html时候,会在我们data/应用package下生成database与cache两个文件夹: 我们请求的Url记录是保存在webviewCache.db里,而url的内容是保存在webviewCache文件夹下. WebView中存在着两种缓存:网页数据缓存(存储打开过的页面及资源)、H5缓存(即AppCache)。 一、网页缓存 1、缓存构成 /data/da
esedatabaseview阅读器
10-04
esedatabaseview阅读器好用便捷的阅读软件
C++中使用调用cmd命令
leeham的博客
08-17 1万+
C++中使用调用cmd命令 方法1:system(“calc”); 方法2: WinExec(“calc”,SW_NORMAL); System() 1.删除文件/文件夹 string command_rd = "rd /s /q WebCacheV01.dat.export"; system(command_rd.c_str()); 2.传入外部参数 system接...
解决FileNotFoundError: [Errno 2] No such file or directory: ‘C:\Users\niu\AppData\Local\Temp\p
热门推荐
抓饭不吃皮牙子
10-11 3万+
通过检查文件路径、确认文件或目录存在、检查文件或目录权限以及合理处理异常情况,我们可以解决这个异常并顺利进行文件操作。这三个函数在文件和目录处理中非常有用,可以帮助我们检查路径的存在性、类型并作相应的处理。如果使用的是绝对路径,确保路径中的驱动器名称和目录结构是正确的。它接受一个路径参数,并返回一个布尔值,表示路径是否是一个文件。它接受一个路径参数,并返回一个布尔值,表示路径是否是一个目录。​异常,可能是由于权限问题。​异常,并在异常处理块中执行适当的处理逻辑,如提示用户重新输入文件路径或进行其他操作。
域控安全之域渗透
kali_Ma的博客
12-04 1495
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。 卷影拷贝服务提取NTDS 在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.dit。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,
esedatabaseview_databaseviewer_ESEDatabaseView_Known_
10-03
ESEDatabaseView is a simple utility that reads and displays the datastored inside Extensible Storage Engine (ESE) database (Also known as'Jet Blue' or .edb file).
如何进行清除web端缓存
weixin_42727360的博客
11-05 5020
对于一个html页面,缓存分3部分,一个是页面内容,一个是css样式,一个是JS文件 1、进行清除页面内容 //meta标签清理缓存 //标签: //如果需要在html页面上设置不缓存,这在标签中加入如下语句: //用于设定禁止浏览器从本地机的缓存中调阅页面内容 //Cache-Control指定请求和响应遵循的缓存机制。在请求消息或响应消息中设置Cache-Control并不会修改另一个消息...
网络安全域内用户Hash获取方式
kali_Ma的博客
12-05 1198
在渗透测试的过程中,当我们已经是域管权限时,就可以实现提取所有域内用户的密码哈希以进行离线破解和分析,这是非常常见的一个操作,这些哈希值存储在域控制器(NTDS.DIT)中的数据库文件中,并带有一些其他信息,如用户名、散列值、组、GPP、OU等于活动目录相关的信息,它和SAM文件一样都是被操作系统锁定的,因此无法直接复制到其他位置以提取信息。NTDS.dit文件位于Windows以下位置: NTDSUTIL是一个命令行工具,它是域控制器生态系统的一部分,其目的是为了使管理员能够访问和管理Windows Ac
Windows取证分析基础
Sp4rkW的博客
01-20 3418
windows 时间规则 创建文件:文件修改、文件访问、文件metadata时间改变 访问文件:文件访问时间改变(NTFS win7+不变) 文件修改:文件修改,文件metadata时间改变 文件重命名:文件metadata时间改变 拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变 文件移动: 1)同卷移动文件:文件metadata时间改变 2)跨卷移动文件 ...
WebCache:Chrome扩展程序,用于查看当前网页的缓存版本
02-01
Web缓存 这是一个chrome浏览器扩展程序,允许用户查看当前网页的缓存版本。 如果网站: DDOS受到攻击(Reddit流量过多) 维修下来 不复存在 具有内容不同的旧版本 安装WebCache 版本v4.0.1 反馈 请报告任何损坏的功能或功能要求。 如果您想对Chrome扩展程序进行评分,请在。 贡献 我明确欢迎那些从未为开源做出过贡献的人们的贡献:我们曾经都是初学者! 我可以帮助建立部分工作的拉取请求,以使其合并。 我还积极寻求使我们的贡献者多样化,尤其欢迎来自不同背景和有色人种的妇女的贡献。 如果您有贡献,请分叉此存储库并创建请求请求。 请遵循。 参考文献 我使用并修改了受欢迎的贡献部分。
esedatabaseview
03-18
ESEDB数据库查看工具,ESEDB view是微软出的一种数据库格式,比如IE浏览器的缓存数据库就是用的它。
ESEDatabaseView1.61 中文汉化版
09-19
ESEDatabaseView是一个简单的实用程序,它读取和显示存储在可扩展存储引擎(ESE)数据库(也称为‘JetBlue’或.edb文件)中的数据。它显示打开的数据库文件中所有可用表的列表,允许您选择要查看的表,然后在选择表时显示所选表中的所有记录。ESEDatabaseView还允许您轻松地选择一个或多个记录,然后将它们导出到逗号分隔/选项卡分隔的/html/xml文件中,或者将记录复制到剪贴板(Ctrl+C),然后将它们粘贴到Excel或其他电子表格应用程序中 已知限制 目前,ESEDatabaseView在某种程度上是Beta版本。它通常正确地读取ESE数据库,但是在具有复杂数据结构的表中,您可能会遇到以下问题: 某些记录中的某些字段可能会显示不正确的值或在实际包含某些数据时显示空字符串。 当加载包含大量数据的表时,ESEDatabaseView可能挂起/停止响应。
史上最强内网基础总结
xingxuxingxu的博客
08-29 290
内网
攻击域控丝滑小连招~
最新发布
m0_74360619的博客
02-02 538
在Kali中打开命令行进入存放ntds.dit目录中,使用esedbexport 恢复,输入如下命令来提取表信息,如图6-26所示,恢复时间视ntds.dit大小决定,导出成功会在同目录生成一个文件夹。下载成功后,将impacket工具包安装在Kali上,impacket是基于使用Python编写的,Kail默认安装了Python,直接输入命令,如图6-30所示。成功安装后,打开命令行进入ntds.dit和SYSTEM目录,输入如下命令,成功导出ntds.dit中所有Hash,如图6-31所示。
python读取csv文件_Hello,Python!小鲸教你Python之文件读取
weixin_39830906的博客
10-21 316
关于类的课程我们已经结束啦,现在,我们开启关于Python的一段新旅程吧!大家要跟上小鲸的小红旗,带好小红帽,不要走错路了哦!文件读取数据 我们在工作或者学习中,会接触到很多存储大量数据的文本文件:经济数据、社会数据等。我们可以通过Python,编写一个程序,来读取文件的内容。 例如,我们首先先创建一个文件xiaojing.txt,并保存在程序所在目录中: 下面在Python中输入以下程序并读取...
内网渗透测试第六章——域控制器安全
山己见的博客
09-09 577
域控制器安全 在通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:Windows\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务,就可以获得文件的副本。 使用卷影拷贝服务提取ntds.dit 使用ntdsutil提取 ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe
使用NTDSXtract离线抓取Domain Hash
cnbird's blog
07-05 1907
下载NTDSX http://www.ntdsxtract.com/  下载libesedb  http://code.google.com/p/libesedb/  获得ntds.dit和SYSTEM文件: 2008和2012的域控用ntdsutil命令,网上有。 2008以下的域控,创建磁盘的shadow copy,然后拷贝ntds.dit和system。  有两个工具可共选择:V

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值