Products
GG网络技术分享 2026-01-23 10:46 2
切记... 说实话,搞网络平安的人要是不知道NTDS.DIT是个啥,那大体上就跟咸鱼没区别了真的不开玩笑!每次我在群里kan到有人问怎么拿域Hash,我就想笑,又想哭。主要原因是这条路太坎坷了充满了坑爹的报错和无尽的等待。咱们今天不整那些虚头巴脑的理论,直接上干货,虽然这些干货可Neng会噎死你。
先说说你得明白,NTDS.DIT这玩意儿到底是何方神圣。它其实就是Active Directory的心脏啊兄弟们!suo有的用户密码哈希、组信息、甚至是那个让你夜不Neng寐的KRBTGT账号的秘密,全dou塞在这个破文件里。它在哪呢?通常就在 C:\Windows\NTDS tds.dit 这个位置趴着呢。dan是!我想大声喊出来的是——你jue对不Neng直接复制它!Windows系统就像个kan门狗一样死死咬住这个文件不放, 你只要敢Ctrl+C,它就敢给你甩个脸子:“拒绝访问”!是不是气死个人,我整个人都不好了。?
这就得说到那个著名的哈希传递攻击了。只要拿到了这个文件里的Hash, 你在域内大体上就是横着走,想去哪台机器就去哪台机器,简直就像是拿到了整个公司的万Neng钥匙。这种感觉虽然hen爽,dan是获取的过程真的hen煎熬。而且别忘了这个文件是被加密的! 扯后腿。 如guo你只偷走了ntds.dit而没有SYSTEM注册表hive文件, 那你拿到的也就是一堆乱码,啥用没有!SYSTEM文件在哪里?一般在 C:\Windows\System32\config\SYSTEM。
开倒车。 既然系统锁死了文件,那我们就绕过系统嘛。这就是所谓的“偷梁换柱”?不对,应该是“暗度陈仓”。Windows自带的VSS本来是用来Zuo备份恢复的,后来啊被我们拿来干坏事了啧啧啧。
这个方法的思路就是创建一个快照,ran后在快照里把文件拷出来。听起来hen简单对吧? 乱弹琴。 实操起来全是泪啊!你得用vssadminhuo者vshadow这种工具。
抄近道。 先说说你得打开cmd,记得一定要是管理员权限啊亲!不然一切dou是空谈。ran后输入那一串长得要死的命令:
vssadmin create shadow /for=C:
这时候屏幕会滚一堆乱七八糟的信息, 如guo运气好没报错,你会kan到一个Shadow Copy ID。记住这个ID, huo者记住它的符号链接, 坦白讲... 通常是类似 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX 这种鬼东西。
ran后呢?ran后你就可yi从这个影子 copy 里把ntds.dit给拖出来了!就像这样:,欧了!
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Win 你看啊... dows\NTDS tds.dit C:\Users\Administrator\Desktop tds.dit
别忘了把SYSTEM也搞一份:
哎呀妈呀, 有时候网速慢huo者硬盘读写不给力,等这个进度条走完真的是等到花儿dou谢了,那必须的!。
除了vssadmin, 还有一个叫vshadow.exe的工具,听说这玩意儿有微软签名,Neng绕过某些杀软的白名单检查? 麻了... 反正我是信了。它的参数geng多geng复杂,kan着就眼晕。
vshadow.exe -nw -exec=c:\windows\system32\cmd.exe C:,戳到痛处了。
这一施行,后台就会悄悄启动一个VSSVC.exe进程。你得时刻盯着任务管理器,不然有时候它会卡死不动哦!手动关掉那个进程的时候还得小心点, 系统日志里会留下7034的记录,这就是所谓的“作案痕迹”,擦屁股的时候别忘了清理一下日志哦。
| 工具名称 | 主要功Neng | 推荐指数 | 吐槽点 |
|---|---|---|---|
| VSSAdmin | Windows自带创建卷影副本 | ★★★★☆ | 命令太长记不住 |
| vshadow.exe | geng强大的VSS交互工具 | ★★★☆☆ | 界面太原始了 |
| NinjaCopy | PowerShell脚本绕过文件锁定 | ★★★★★ | 容易被拦截 |
| Mimikatz | 神器中的神器内存读取 | ★★★★★ | 杀软见了就咬 |
戳到痛处了。 如guo你觉得上面的命令行操作太low了 不够极客范儿,那咱们就来点PowerShell的活儿。Invoke-NinjaCopy这个脚本名字听起来就hen酷对不对?感觉像是在玩忍者游戏一样。
公正地讲... 它的原理就是利用内核级别的读取方式把文件给读出来wan全无视Windows文件系统的锁机制。是不是hen流氓?dan是我喜欢!先说说你得把这个脚本下载到目标机器上, huo者geng骚一点直接tong过内存加载:
IEX.DownloadString
当然啦,这里不Neng写真实的网址,不然又要被封号了。反正意思就是从网上把脚本拉下来运行,我满足了。。
接下来就是见证奇迹的时刻了!你可yi直接提取本地的SAM文件试试水:
Invoke-NinjaCopy -Path "C:\Windows\System32\config\sam" -LocalDestination "C:\Users\Administrator\Desktop\sam"
kan到桌面上的sam文件没?是不是hen激动?别急,重头戏还在后面呢。我们要提取域控上的NTDS.dit,总结一下。
还有那个至关重要的SYSTEM hive文件:,挖野菜。
这个过程有时候会特bie慢,特bie是当ntds.dit文件大到几个G的时候你就等着吧千万别关窗口啊不然前功尽弃哭dou没地方哭去而且PowerShell有时候会莫名其妙卡住不动这就hen搞心态了真的fei常搞心态我就遇到过好几次这种情况简直是崩溃现场。
前面说的那些dou是离线的方法又要拷文件又要解密麻烦得要死有没有一种geng简单粗暴的方式?当然有那就是大名鼎鼎的DCSync!这可是Mimikatz里面的杀手锏功Neng之一啊朋友们用了dou说好,行吧...。
Dcsync利用的是目录复制服务。原理就是假装自己是一个域控制器ran后向真正的域控制器请求数据同步这样一来域控就会乖乖地把suo有用户的Hash包括密码历史记录dou吐给你了是不是hen刺激?这就好比你去骗保安说我是新来的经理保安就把钥匙给你了一样荒唐但在Windows的世界里这就是现实哈哈。
前提是你得有足够的权限哦普通用户就别想了洗洗睡吧你需要是管理员域管理员huo 深得我心。 者企业管理员甚至域控制器的计算机账户也可yi这也是为什么提权这么重要的原因啦。
打开你的mimikatz输入经典的命令:
lsadump::dcsync /domain:test.com /all /csv
kan着屏幕上疯狂滚动的字符那种感觉真的难以形容就像是kan瀑布流一样suo有的用户名NTLM Hash甚至LM Hashdou在这里了test.com换成你自己的域名就行如guo只想kan特定用户的hash可yi把/all改成/user:某个倒霉蛋的名字比如krbtgt账户这个可是制作黄金票据的关键素材拿到手之后你就是域内Zui靓的仔,我始终觉得...!
| Mimikatz模块 | 命令示例 | 用途描述 | 风险等级 |
|---|---|---|---|
| Sekurlsa | sekurlsa::logonpasswords |
抓取登录用户的明文或Hash | 高 |
| Lsadump | lsadump::dcsync /domain:xxx |
模拟域控同步获取suo有Hash | 极高 |
| Kerberos | kerberos::golden /admin:x |
生成黄金票据任意访问 | 极高 |
| Vault | vault::cred /list |
抓取Windows凭据管理器密码 | 中 |
费了九牛二虎之力终于把ntds.dit和system文件弄到手了接下来干嘛呢当然是解密啦这时候就要祭出Python神器Impacket里面的secretsdump.py了这个脚本简直就是为处理这种场景而生的感谢作者大大为我们省去了多少逆向算法的痛苦泪目ing...,公正地讲...
命令行其实也不复杂大概长这样:
python secretsdump.py -system system -ntds.dit ntds.dit LOCAL,我比较认同...
-system参数指定system hive文件-ntds.dit指定数据库文件LOCAL表示本地解析如guo你的环境比较复杂还可yi指定远程ip什么的不过通常来说我们把文件拖回自己的Kali Linux里跑是Zui稳妥的毕竟在目标机器上跑Python有时候环境配置Neng把人逼疯缺库少模块的各种报错kan着就头大。
换句话说... 等程序跑完你会得到一大堆输出其中Zui关键的就是那些$哈希值把它们整理一下保存到txt文件里就可yi拿着去跑Hashcathuo者John Ripper进行暴力破解了不过现在的密码强度越来越复杂破解成功率也是感人肺腑只Neng祝你好运咯说不定运气好Neng碰到几个弱口令比如123456之类的那就赚翻了哈哈。
其实除了上面那些黑客工具微软自己还留了个叫ntdsutil.exe的程序在域控里这本来是用来维护活动目录的管理工具没想到也Neng被我们利用来激活安装IFM实例从而导出需要的数据库文件这就有点黑色幽默了自己造的锁再说说撬开锁的工具也是自己给的真是讽刺意味拉满啊,别犹豫...。
这就说得通了。 windows server 2008 2012甚至geng新的版本dou支持这个东西操作步骤稍微繁琐一点要进入一个类似于交互式界面的模式敲一串activate instance ntds再ifm再create full c:\temp之类的命令具体我也记不太清了反正每次dou要去查文档脑子不好使了老了老了不过这种方法生成的文件里不仅仅是ntds.dit还会附带一些其他的注册表hivedui与某些特殊的取证分析还是hen有用的不像NinjaCopy那么粗暴只管你要的那几个文件各有各的好处吧kan情况选择咯。
原来如此。 写了这么多感觉整个人dou被掏空了获取Windows域Hash这条路真的是充满了荆棘和陷阱每一步dou可Neng有坑等着你跳进去要么是权限不够要么是杀软拦截要么是网络掉线各种奇葩情况层出不穷dan是当你终于拿到那个包含suo有秘密的哈希列表时那种成就感真的是无法用语言来形容的仿佛整个世界dou在你脚下颤抖哈哈哈哈开玩笑的平安第一大家还是要合法合规地学习这些技术千万不要用来干坏事哦不然捕快叔叔请你喝茶可别怪我没提醒你这篇文写得太烂了我自己doukan不下去了排版乱七八糟逻辑也经常断片大家凑合着kan吧希望Neng对正在入门红队攻击的小伙伴们有一丢丢帮助哪怕只是帮你们避开了几个坑也不枉我打了这么多字手dou要断了先撤了回见各位大佬们保重身体多喝热水少熬夜写代码伤肝啊真的伤肝...
Demand feedback
