域控安全之ntds.dit导出

在通常的情况下,即使我们拥有域管理员的权限也是无法读取域控制器的C:\Windows\NTDS\ntds.dit文件,是因为活动目录始终访问着这个文件,所以禁止读取.使用windows的本地卷影拷贝就可以获得文件的副本

什么是卷影拷贝：卷影拷贝服务（Volume Shadow Copy Service，VSS）是Microsoft在Windows XP中开始引入的服务，但到了Windows Server 2003作为一个备份服务器功能独立出来，它能让用户在没有IT专业人员协助的情况下，更轻松地恢复丢失的文件。

Ntds.dit

什么是ntds.dit

在活动目录中,所有的数据都保存在ntds.dit中,ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含（但不限于）用户名、散列值、组、GPP、OU等与活动目录相关的信息。而在非域环境也就是在工作组环境中，用户的密码等信息存储在SAM文件，想要破解SAM文件与Ntds.dit文件都需要拥有一个System文件。它和sam一样，是被Windows操作系统锁定的

如何利用:

在一般的情况下,系统的运维人员会利用卷影拷贝服务实验这些操作. VSS本质上属于快照技术的一种,主要用于备份和恢复(即使目标处于锁定的状态)

位置ntds.dit文件位置: `C:\Windows\NTDS\NTDS.dit`
system文件位置:`C:\Windows\System32\config\SYSTEM`
sam文件位置:`C:\Windows\System32\config\SAM`

ntds.dit一般存储域用户的信息，sam是本机的，然后system里面存放了密钥，如果sam,ntds.dit要破解就需要system

提取ntds.dit

通过ntdsutil.exe 提取 ntds.dit

ntdsutil.exe是一个位活动目录(AD)提供管理机制的命令行工具。该工具默认安装在了域控制器上面,可以在域控制器上面直接操作,也可以通过域内机器在域控制器上远程操作.

支持的系统：windows server 2003 ，windows server 2008， windows server 2012。

1.创建一个快照

ntdsutil snapshot “activate instance ntds” create quit quit

该快照包含Windows中的所有文件，且在复制时不会受到Windows锁定机制的影响，需要管理员权限去执行

可以看到这边创建了一个GUID{06a1b343-93f9-4c1b-a613-d02c23f99759}

2.加载快照

ntdsutil snapshot “mount {06a1b343-93f9-4c1b-a613-d02c23f99759}” quit quit   //这个后面的就是刚创建的ID

可以看到快照已经加载到了路径： C:\$SNAP_202110151711_VOLUMEC$\

查看一下

确实存在了

3.拷贝快照

copy C:\$SNAP_202110151711_VOLUMEC$\windows\ntds\ntds.dit c:\windows\temp\ntds.dit

ntdsutil snapshot “unmount {06a1b343-93f9-4c1b-a613-d02c23f99759}” “delete {06a1b343-93f9-4c1b-a613-d02c23f99759}” quit quit
ntdsutil snapshot “mount <ID>” “delete <ID>” quit quit

使用 ntdsutil 的 IFM卷影拷贝提取Ntds.dit文件

通过上一个命令执行来实现创建快照，加载，拷贝，最后提去出来ntds.dit 同时也可以通过创建一个IFM，在使用ntdsutil创建IFM时，需要进行生成快照、加载、将{% label info@ntds.dit 和计算机的SAM文件复制到目标文件夹中等 %}操作

1.执行创建IFM

在域控制器中执行如下命令即可（需要域管理员权限，没有的会让其弹出UAC）：ntdsutil “ac i ntds” “ifm” “create full c:/test” q q