本方法属于后渗透测试,需要管理员/system权限。
首先我们需要一些准备。VSSOwn是一个很好的脚本,它本质上帮我们创建一个Windows域控制器盘符的volume shadow copy,从而我们可以提取NTDS和SYSTEM文件。在Windows 2008&7中,这个特点是默认的。周期性备份盘符同时包含NTDS,SYSTEM和SAM文件。VSSOwn还有其他有趣的特点。
其次,一旦我们恢复了系统文件,我们需要获得hash的软件。下载地址: http://sourceforge.net/projects/libesedb/
首先看看我们的系统信息:
我们可以看到是Windows 2008标准版,同时安装了SP2.同时我们注意到一些域帐号。当我们上传VSSOwn到服务器后,我们使用cscript运行vssown.vbs,命令。因为这是一个命令行工具,所以不需要使用"wscript"。
使用/list选项检查shadow copies。我们可以使用"VSSADMIN"命令,但是这种方法更简单。现在可以从这个shadow copy中拷贝文件了
当使用“/list”选项,我们需要注意要拷贝的路径,在本例中是 “\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3”。现在只需从命令prompt中copy一个文件在device object路径后加上 “windows\ntds\ntds.dit”和“\windows\system32\config\SYSTEM”。
现在把这两个文件转移到bt中,下载/安装 esedbtools[该工具只支持32位系统]。然后我们进入esedbtools文件夹。
给命令提供NTDS.dit文件路径作为参数。
生成一个叫ntds.dit.export的文件夹,里面有一个叫datatable的文件。我们需要这个文件来dump密码。
如上图所示,密码出现了。
再次强调esedbdumphash只支持32位,下载地址:http://sourceforge.net/projects/libesedb/