域之ntds.dit

最新推荐文章于 2025-04-27 09:33:29 发布

原创

最新推荐文章于 2025-04-27 09:33:29 发布 · 1.5k 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#渗透测试 #web

本文详细介绍了如何在离线状态下获取Windows Active Directory数据库ntds.dit，包括通过vss快照方式（ntdsutil、vssadmin、nishang:copy-vss.ps1和msf:psexec_ntdsgrab）以及NinjaCopy方式。同时，文章还讨论了从ntds.dit中提取哈希的方法，如使用mimikatz、secretsdump.py、QuarksPwDump.exe和NTDSDumpEx工具。

ntds.dit

ntds.dit为ad的数据库（C:\Windows\NTDS），内容有域用户、域组、用户hash等信息，域控上的ntds.dit只有可以登录到域控的用户（如域管用户、DC本地管理员用户）可以访问。ntds.dit包括三个主要表：数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash，ntds.dit是加密的，需要获取system来解密。查看dit数据库可使用https://github.com/yosqueoy/ditsnap工具。

离线获取ntds.dit

vss快照方式

vss即Volume Shadow Copy Service。win2003及以上有，用于创建数据备份的快照功能。

ntdsutil

查看当前快照列表和已经挂载的快照

ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit

创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

在这里插入图片描述

挂载快照

ntdsutil snapshot "mount 521972bf-3b80-470c-aa9b-f40ee0f9be57" quit quit

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

2
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[域控安全] Ntds.dit 文件介绍

Blue17 の小窝

03-23

375

该文件只有登录到域控的用户（如域管用户、DC 本地管理员用户）可以访问。所以只要在域渗透中能够获取到 Ntds.dit 就可以获取到所有域用户的用户名和对应的 Hash，它与 Windows 的 SAM 文件类似，默认都被系统锁死了，无法直接查看。Ntds.dit 包括三个主要表：数据表、链接表、SD 表。0x01：Ntds.dit 文件介绍。0x01：Ntds.dit 文件介绍。0x02：Ntds.dit 文件位置。

域渗透之获得域控服务器的NTDS.dit文件

cj_Hydra's Blog

02-15

2332

前言： ntds.dit是主要的AD数据库，存放在c:\windows\NTDS\NTDS.dit，包括有关域用户，组和成员身份的信息，它还包括域中所有用户的密码哈希值，为了进一步保护哈希值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。因为这两个文件属于系统特殊文件，不能直接复制粘贴，所以需要用特殊的方式来复制粘贴。当我们拿到域控的权限后，我们可以跑域内所有的hash值，...

参与评论您还未登录，请先登录后发表或查看评论

利用卷影拷贝服务提取ntds.dit

hongduilanjun的博客

07-21

903

在活动目录中，所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被操作系统锁定的。在一般情况下系统运维人员会利用卷影拷贝服务(volumeShadowCopyServer，VSS)实现ntds.dit的拷贝，VSS本质上属快照(Snamshot)技术的一种，主要用于备份和恢复(即使目标文件被系统锁定)。...

服务器渗透文件,域渗透——获得域控服务器的NTDS.dit文件

weixin_39603217的博客

08-03

633

0x00 前言在之前的文章《导出当前域内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制，可用来导出域内所有用户hash。本文将尝试做系统总结，总结多种不同的方法。0x01 简介本文将要介绍以下内容：多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件测试系统：Server 2008...

域控安全和跨域攻击-5.1-ntds.dit文件的介绍

qq_38122566的博客

03-18

244

ntds.dit为ad的数据库，内容有域用户、域组、用户hash等信息，域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds,dit就可以获取到所有域用户的用户名和对应的hash，它和SAM文件一样，被windows系统锁死。

域凭据获取——利用NTDS.DIT获取windows域哈希

qq_55202378的博客

08-05

1293

NTDS.DIT文件是域控制器的数据库文件，该文件作为AD的数据库，存储了AD的所有数据，包括域内的用户对象、组和组成员身份等信息，以及域内所有用户的凭据信息。该文件位于域控制器下的根目录下。NTDS.DIT文件与Windows主机中的SAM文件类似，不同点在于SAM文件中只存放本机的用户哈希，而NTDS.DIT文件中存放了所有域用户的哈希凭据。在windows中NTDS.DIT文件同样被Windows系统锁定，正常操作无法复制该文件，权限低于system的用户将无法读取。

5.2-多种方式提取和移动ntds.dit文件

qq_38122566的博客

03-19

668

ntdsutils.exe 是一个为活动目录提供管理机制的命令行工具，使用 ntdsutils.exe 可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区等，该工具默认安装在域控服务器上，可以在域控制器上直接操作，支持windowsserver 2003、2008、2012。提取过程分为3步:第一步:创建快照可以看到快照的uid是{26924c26-3631-41ab-8d15-4cdc2e752c48}第二步:加载快照。

关于如何进行NTDS.dit修复的步骤

weixin_67900048的博客

04-27

527

请注意，我们中间跳过了esentutl /p 来修复数据库的命令，因为这个操作可能对当前的数据库产生负面影响，导致域控无法正常启动。3、展开到boot,在boot options中选中Safe mode->Active directory repair。14、运行msconfig，展开到boot,在boot options中取消Safe mode，重启计算机。5、用还原模式的帐号登录：.\administrator；1、用域管理员帐户登录域控，运行msconfig。如果完整性检查没有问题，跳到步骤13；

域控安全 ----＞ Ntds.dit文件抓取

Innocence_0的博客

07-06

521

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）③项目源码（四五十个有趣且经典的练手项目及源码）

ntds.dit文件的获取与解密

热门推荐

Shanfenglan's blog

08-21

28万+

它们在哪儿？ ntds.dit文件是域环境中域控上会有的一个文件，这个文件存储着域内所有用户的凭据信息(hash)。非域环境也就是在工作组环境中，有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件与ntds.dit文件都需要拥有一个system文件。 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM

[内网渗透]—卷影拷贝提取ntds.dit

Sentiment的博客

12-08

1397

ntds.dit文件是一个数据库，用于存储Active Directory数据，包括有关用户对象，组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值，可以使用诸如Mimikatz之类的工具执行哈希传递攻击，或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行，因此将无法检测到。一旦攻击者提取了这些散列，它们便可以充当域上的任何用户，包括域管理员。在活动目录中，所有的数据都保存在ntds.dit中。

新SAM文件－win2k活动目录数据库文件ntds.dit

SAP FICO MM顾问专栏(暂时不谈软件开发)

09-06

1517

在windows 2000操作系统中，为配合企业需要，并增加windows的网络管理功能，发展了一种新类型的目录服务--活动目录(active directory)，在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息，该域的策略和其他重要的域服务信息。可以说，活动目录采用了与原来NT系统完全不同的方式保存数据信息。 Windows 2000 活动目录数据实

NTDS.dit hash提取工具

weixin_34404393的博客

06-22

334

NTDS.dithash提取工具为保证不修改quarkspwdump版权信息，没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。NTDS.dit是个什么鬼呢？在域内，HASH是存在NTDS.DIT中的，NTDS.DIT是一个二进制文件，就等同于本地计算机的SAM文件，它的存放位置是%SystemRoot%...

内网渗透--提取域控NTDS

qq_62169455的博客

09-24

1559

NTDS.DIT：为DC的数据库，内容有域用户、域组、用户hash等信息，域控上的ntds.dit只有可以登录到域控上的用户（如域管用户、DC本地管理员用户）可以访问，为了进一步保护密码哈希值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置：C:\Windows\NTDS该文件和SAM文件类似，是不能直接读取的，也不能复制。

【内网学习笔记】26、ntds.dit 的提取与散列值导出

TeamsSix 的优快云空间

09-09

1523

0、前言在活动目录中，所有数据都保存在 ntds.dit 文件中，ntds.dit 是一个二进制文件，存储位置为域控的 %SystemRoot%\ntds.dit ntds.dit 中包含（但不限于）用户名、散列值、组、GPP、OU 等与活动目录相关的信息，因此如果我们拿到 ntds.dit 就能获取到域内所有用户的 hash 在通常情况下，即使拥有管理员权限，也无法读取域控中的 ntds.dit 文件（因为活动目录始终访问这个文件，所以文件被禁止读取），它和 SAM 文件一样，是被 Windows 操作

用ESEnTUtl工具修复系统数据库1

06-18

3484

AD攻防-域用户HashDump追踪之道

喜欢Python编程的程序员柚柚呀

08-24

1460

it，网上dump域用户hash的方式五花八门，少有站在防御者视角对不同的dump方式进行梳理剖析和取证定位的文章，掌握不同dump方式的底层原理才能在EDR对抗时不慌不乱、在应急响应中抓住重点，选择最适合的手段快速达到自己的目的。本文大纲如下：![AAA-

域控安全之域渗透

m0_59598029的博客

02-25

913

在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件，所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被Windows操作系统锁定的。

如何查看ntds.dit文件中的内容？

最新发布

09-26

<think> 嗯，用户现在想了解如何查看ntds.dit文件中的内容。首先，我需要回顾之前的对话历史。用户之前询问域账户保存密码的位置，我回答在ntds.dit文件中，随后用户提出了四个相关问题，其中第一个就是如何查看该文件的内容。现在用户引用了几篇文章，提到导出和读取ntds.dit的方法，包括使用ntdsutil导出文件、提取hash值等。接下来，我需要分析用户提供的引用内容。引用[1]和[2]提到使用ntdsutil命令导出ntds.dit文件，需要域管理员权限。引用[3]说明ntds.dit的位置和包含的信息，如域用户、组、哈希值，且文件被系统锁定。引用[4]提到使用ntdsxtract工具提取数据，而引用[5]警告在线获取哈希可能导致域控崩溃，建议避免在线方式。用户的核心诉求是查看文件内容，而不仅仅是导出。因此，回答需要涵盖导出后的解析步骤。用户可能作为安全研究人员或系统管理员，需要合法访问域控数据，但必须强调法律和权限的重要性，避免被用于恶意目的。接下来要考虑回答的结构。首先说明准备工作，如导出文件（引用[1][2]）。然后介绍解析工具：ntdsxtract（引用[4]）、Impacket、esedbexport、Quarks PwDump。每个工具的使用方法需简明，示例命令要准确。注意提醒导出文件的安全风险，如敏感信息泄露（引用[3][5]），以及离线解析的必要性。用户可能遇到的问题包括权限不足、系统锁定文件（引用[3]），工具依赖如Python版本（ntdsxtract需Python2）。需强调避免在线操作，引用[5]提到资源占用导致崩溃。最后，生成相关问题需围绕技术延伸：其他解析工具、解密哈希、提取特定属性、安全存储建议。确保引用标记正确，如ntdsutil导出对应[^1][^2]，工具使用对应[^4]，风险提示对应[^3][^5]。总结步骤：导出→复制SYSTEM→安装工具→运行解析。强调法律合规，避免支持非法操作。 </think> 查看ntds.dit文件内容需要经过**导出文件**和**离线解析**两个关键步骤，以下是详细操作方法： --- ### 一、导出ntds.dit文件（需域管理员权限） 1. **使用ntdsutil导出** 在域控制器上执行命令： ```powershell ntdsutil "ac i ntds" "ifm" "create full C:\export" q q ``` 此命令会将`ntds.dit`导出到`C:\export\Active Directory\`，同时生成关键的`SYSTEM`和`SECURITY`注册表文件（在`C:\export\registry\`中）[^1][^2]。 2. **复制文件到分析环境** ```powershell copy "C:\export\Active Directory\ntds.dit" C:\target\ copy "C:\export\registry\SYSTEM" C:\target\ ``` > ️ 注意：直接在线读取ntds.dit可能导致域控崩溃[^5]，建议导出后离线分析。 --- ### 二、解析ntds.dit内容（常用工具） #### 方法1：使用ntdsxtract工具（推荐） 1. **安装工具** ```bash git clone https://github.com/csababarta/ntdsxtract cd ntdsxtract python2 setup.py install # 需Python2环境[^4] ``` 2. **提取用户哈希值** ```bash python2 dsusers.py ntds.dit --syshive SYSTEM --passwordhashes OUTPUT ``` 输出文件包含所有域用户的`用户名:RID:LM-Hash:NT-Hash`格式数据[^4]。 #### 方法2：使用Impacket工具包 ```bash secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL ``` 此命令可直接输出域内所有账户的NTLM哈希[^5]。 #### 方法3：使用esedbexport（底层解析） ```bash esedbexport -m tables ntds.dit # 导出数据库表 python2 esentutl.py --table=datatable export # 解析用户数据表 ``` 适合需要提取完整AD属性的场景[^3]。 #### 方法4：图形化工具（如Quarks PwDump）支持加载`ntds.dit+SYSTEM`文件直接查看哈希： ```powershell QuarksPwDump.exe --dump-hash-domain --ntds-file ntds.dit ``` --- ### 🔒 关键安全提示 1. **敏感数据保护** ntds.dit包含域内所有账户的密码哈希，需严格加密存储[^3]。 2. **法律合规性** 仅在拥有合法授权时操作域控文件。 3. **操作风险** 直接访问域控文件可能触发安全告警，建议在隔离环境分析。 > 💡 实战经验：大型域环境优先使用离线解析。曾有一次在线提取导致CPU占用100%持续40分钟，触发运维告警。 --- ###