从域控制器中提取Active Directory数据库(NTDS.DIT)

最新推荐文章于 2025-04-27 09:33:29 发布
原创 最新推荐文章于 2025-04-27 09:33:29 发布 · 3.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内网渗透 #红队 #域渗透

本文详细介绍了多种攻击者在获取域控制器权限后,如何利用NTDSUtil、VSS卷影副本、PowerSploit的Invoke-NinjaCopy、Mimikatz及其不同模块,以及Impacket的secretsdump.py工具,从本地或远程转储ActiveDirectory凭据。这些方法涉及捕获ntds.dit文件、利用DCSync功能以及在内存中转储凭据,展示了域环境中潜在的安全风险。

目录

讲在前面:

本地安全机构子系统服务(LSASS)

场景思考

注意

ntds.dit介绍:https://blog.youkuaiyun.com/qq_41874930/article/details/108141331

部分方法如下:

使用NTDSUtil的Create IFM在DC上本地捕获ntds.dit文件

使用VSS卷影副本远程拉ntds.dit

使用PowerSploit的Invoke-NinjaCopy远程拉ntds.dit(需要在目标DC上启用PowerShell远程处理)

注意:

使用Mimikatz在本地转储Active Directory凭据(在DC上)

使用Invoke-Mimikatz在本地转储Active Directory凭据(在DC上)

使用Invoke-Mimikatz远程转储Active Directory凭据

使用Mimikatz的DCSync远程转储Active Directory凭据

Impacket的secretsdump.py-读取NTDS.dit内Hash

讲在前面:

从Active Directory中转储凭据的主要技术包括实时与DC上的LSASS交互,获取AD数据文件的副本(ntds.dit)或欺骗域控制器向攻击者复制密码数据(欺骗域控制器我是域控制器)
此处介绍的方法需要提升权限后才可进行,因为它们涉及连接到域控制器以转储凭据。

本地安全机构子系统服务LSASS

Microsoft Windows操作系统中的一个进程,负责在系统上实施安全策略。它验证登录到Windows计算机或服务器的用户,处理密码更改并创建访问令牌。它还写入Windows安全日志。强制终止lsass.exe将导致系统失去对任何帐户(包括NT AUTHORITY)的访问权限,从而提示重新启动计算机

场景思考

用户登录后,将生成各种凭据并将其存储在内存中的本地安全授权子系统服务LSASS进程中。这旨在促进单点登录(SSO),确保每次请求资源访问时都不会提示用户。凭据数据可能包括Kerberos票证,NTLM密码哈希,LM密码哈希(如果密码小于15个字符,取决于Windows OS版本和补丁程序级别),甚至是明文密码(以支持WDigest和SSP身份验证等)。尽管可以阻止Windows计算机在本地计算机SAM数据库(和AD数据库)中创建LM哈希,但这并不能阻止系统在内存中生成LM哈希。默认情况下,除非明确启用,否则Windows Server 2008和Windows Vista将不再为用户生成LM哈希。从Windows 8.1和Windows Server 2012 R2开始,LM哈希和“明文”密码不再存储在内存中。kb2871997中也将此功能“反向移植”到了Windows的早期版本(Windows 7/8 / 2008R2 / 2012),所以需要防止将“明文”密码放置在LSASS中。

注意

对于攻击者而言,很少希望直接在目标系统上运行代码,目前的攻击手法都可以实现不在DC上执行代码就达到获取AD所有账户密码的功能。包括针对远程系统远程运行Mimikatz以转储凭据,通过PowerShell Remoting远程使用Invoke-Mimikatz和DCSync

ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit
system文件位置:C:\Windows\System32\config\SYSTEM
sam文件位置:C:\Windows\System32\config\SAM

ntds.dit介绍:https://blog.youkuaiyun.com/qq_41874930/article/details/108141331

部分方法如下:

环境:

  • DC:Windows2016
  • DC:Windows2008
  • 客户机:Win7

注:此处因其介绍的如下方法本身都需要提权后才可进行操作,故笔者部分操作直接在域控上进行操作,望见谅。

最低0.47元/天 解锁文章
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&AD信息备份
君逍遥o
11-19 1798
1.配置组策略及配置信息备份; 2.每天自动备份到本地的D盘根目录; 3.并同步复制到DFS目录下\DFSsharedir\IT\backup 目录
导出ntds.dit文件
谢公子的博客
02-08 3209
目录 NTDS.dit 通过ntdsutil.exe提取NTDS.dit 通过vssadmin提取ntds.dit 通过vssown.vbs脚本提取ntds.dit 使用ntdsutil的IFM创建卷影拷贝 使用diskshadow导出ntds.dit 导出SYSTEM文件 主机运维人员监卷影拷贝服务的使用情况 NTDS.dit 在活动目录中,所有的数据都保存在的 ntd...
[内网渗透]—卷影拷贝提取ntds.dit
Sentiment的博客
12-08 1411
ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当上的任何用户,包括管理员。在活动目录中,所有的数据都保存在ntds.dit中。
8、域渗透——获得服务器的NTDS.dit文件
Fly_鹏程万里
06-11 3045
0x00 前言在之前的文章《导出当前内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得服务器NTDS.dit文件测试系统:Server 2008 ...
安全 ----> Ntds
2401_84969291的博客
05-14 598
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
域控制器学习笔记(1)基本概念
爱意随风起,人生不可弃。
07-11 6332
和活动目录的概念 (Domain)是企业网络钟人为定义的一组计算机和用户的集合,目的是为了对集合钟的各种资源对象进行统一和集中的管理。 活动目录(Active Directory)是一种小型数据库,通过定义内的各种对象的属性并在逻辑上形成层次化结构,便于更有效的展示和管理。 域控制器(Domain Controller)存放活动目录数据库的服务器,运行ADDS(Active Directory Domain Service)服务。 概述: 提供了一个集合的环境,在集合中,包含了各种各样的对象(计算机
web获取当前计算机信息,【域渗透】获取环境内用户登录信息
weixin_35582180的博客
07-26 1409
之前见到有人在讨论内用户在内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置用户只可以登录指定的的内计算机,使用 adfind或者 powerview导出用户信息可以查看;12345678查看内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
5.2-多种方式提取和移动ntds.dit文件
qq_38122566的博客
03-19 687
ntdsutils.exe 是一个为活动目录提供管理机制的命令行工具,使用 ntdsutils.exe 可以维护和管理活动目录数据库制单个主机操作、创建应用程序目录分区等,该工具默认安装在服务器上,可以在域控制器上直接操作,支持windowsserver 2003、2008、2012。提取过程分为3步:第一步:创建快照可以看到快照的uid是{26924c26-3631-41ab-8d15-4cdc2e752c48}第二步:加载快照。
关于如何进行NTDS.dit修复的步骤
最新发布
weixin_67900048的博客
04-27 552
请注意,我们中间跳过了esentutl /p 来修复数据库的命令,因为这个操作可能对当前的数据库产生负面影响,导致无法正常启动。3、展开到boot,在boot options中选中Safe mode->Active directory repair。14、运行msconfig,展开到boot,在boot options中取消Safe mode,重启计算机。5、用还原模式的帐号登录:.\administrator;1、用管理员帐户登录,运行msconfig。如果完整性检查没有问题,跳到步骤13;
在Windows Server 2003环境中,如何有效地备份Active DirectoryNtds.dit和SYSVOL文件,以确保在系统故障时可以快速恢复?
10-27
在Windows Server 2003的Active Directory环境中,备份Ntds.dit文件和SYSVOL文件是确保系统稳定性的重要组成部分。首先,应该了解Ntds.dit是AD的核心数据库文件,而SYSVOL包含了策略和共享脚本等重要信息。备份...
[Tools]获取环境内所有用户登录信息(附源码及程序)
BraveWinds B10G
04-12 3472
博主写了一个小脚本/工具(Github下载地址包含全部源码及pyinstaller转的exe可执行程序),用来获取环境内所有用户登录信息,大家觉得不错就收下吧,欢迎交流提建议。本工具已更新,最新版请至Github下载
ntds.dit 获取内用户ntlm hash
qq_46635165的博客
11-17 2327
前提:在获取了权限后,可以通过读取ntds.dit 获取内更多资产信息 概念: 在活动目录中,所有内数据都保存在ntds.dit中,存储位置为 %SystemRoot%\ntds\ntds.dit,ntds.dit中包含用户名,散列值,组,OU,GPP等活动目录相关信息; 在主机中默认自带了ntdsutil.exe ,是一个为活动目录提供管理机制的程序,使用ntdsutil.exe 用于维护活动目录等,ntdsutil.exe 支持的操作系统有win2003,win2008,win2012; 目
新SAM文件-win2k活动目录数据库文件ntds.dit
SAP FICO MM顾问专栏(暂时不谈软件开发)
09-06 1519
在windows 2000操作系统中,为配合企业需要,并增加windows的网络管理功能,发展了一种新类型的目录服务--活动目录(active directory),在活动目录中包含了active directory中所有相关资源的对象及该用户的相关信息,该的策略和其他重要的服务信息。可以说,活动目录采用了与原来NT系统完全不同的方式保存数据信息。 Windows 2000 活动目录数据实
环境下获取hash值
sinat_38378265的博客
04-01 1547
实验环境:win2012(),win2007(客户机) 目的:使用系统自带工具ntdsutil(win2008以上)导出ntds.dit,使用软件QuarkPwdump将它破解,得到的hash值。 过程:cmd.exe输入ntdsutil进入交互式界面,输入snapshot,然后输入activate instance ntds,再输入create创建快照,输入mount+快照将快照挂载到c盘...
通过域控制器获取用户的密码_出差在外地,忘了登录密码,却想登服务器,别慌...
weixin_39914732的博客
12-05 1583
在出差用户面临的众多问题中,忘记密码也是阻碍工作效率的原因之一,因为它们需要管理员的帮助。当用户登录到AD(活动目录Active Directory)Windows会缓存凭据,将其本地存储在计算机上。缓存的目的是让用户出差或无网络的情况下,也能够登录。但是,当出差用户忘记密码时,他们无法重置密码。即便出差用户想用第三方工具重置密码,在断网的情况下也无法与域控制器通信。因此,新密码和缓存凭据...
查看在线用户和计算机,如何查看用户登陆的时间?
weixin_30853127的博客
06-16 3426
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。服务器是windows server 2003,客户机是windows xp,用户都是用户。想在服务器上查看用户每次登入的时间。哪位同仁有办法?回答:您好!您需要在服务器上查看用户每次登入的时间,可以通过在服务器上开启审核登录事件的方法实现。具体设置如下:1. 开始...
【AD】破解WindowsServer2008R2 AD目录还原模式密码及管理员账号密码
weixin_33805992的博客
07-15 1868
(本文部分内容来源于网络,假设没有备用管理员。)一:知道管理员密码,忘记目录模式还原密码目录模式还原密码和之前的系统一样,保存在c:\windows\system32\config\sam内。破解方法有两种。1。用管理员账号登录后使用如下命令修改C:\Users\Administrator>ntdsutilntdsutil:set dsrm password重置...
为什么我们不用数据库生成 ID?
weixin_45583158的博客
01-08 806
先介绍一下背景????团队正在一个为 SQL Server 构建数据目录项目的历程中,我们优化系统以实现解耦。这对我们来说非常重要,从根本上来说,我归结为两个核心原则,希望每个软件专业...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值