快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

从NTDS.dit获取暗码hash的三种要领

本文我将为人人先容一些取证工具,这些工具在渗透排泄测试中将会对我们起到很大的帮助。例如当你提取到了大批的主机内部文件时,你可会发现其中包含如NTDS.dit以及体系hive,那么你将可能需要用到下面的这些工具,来帮助你提取其中的用户信息。

Impacket-secretsdump

Impacket是一个Python类库,用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协定进行低级编程走访。 该库提供了一组工具,作为在此库的上下文中可以执行的操作示例。

secretsdump.py:完成了多种不需要在遥程主机上执行任何代办署理的情形下转储秘要数据的手艺。对于SAM以及LSA Secrets(包括缓存的凭证),我们绝可能的尝试从注册表中读取,然后将hives保存在目标体系(%SYSTEMROOT%\Temp目录)中,并从那边读取其余的数据。对于DIT文件,我们使用DL_DRSGetNCChanges()要领转储NTLM哈希值,明文凭据(要是可用)以及Kerberos密钥。此外,还可以通过使用smbexec/wmiexec要领执行vssadmin来转储NTDS.dit。

参考:https://www.coresecurity.com/corelabs-research/open-source-tools/impacket

根据官方文档的说明,想要提取用户的暗码哈希,WEB黑客,我们必须获取到ntds.dit以及System-hive这两个文件。要是前提餍足,你可以执行下列命令:

impacket-secretsdump -system /root/Desktop/NTDS/SYSTEM -ntds /root/Desktop/NTDS/ntds.dit LOCAL

-system:表示体系hive文件的路径(SYSTEM)

-ntds:表示dit文件的路径(ntds.dit)

可以看到,它已从ntd.dit文件中转储了NTLM暗码。

1.PNG

行使在线暗码破解工具来尝试破解暗码哈希,如图所示,终极的爆破效果是“123@password”。

2.PNG

DSInternals PowerShell

DSInternals PowerShell模块提供了构建在框架之上的易于使用的cmdlet。首要功能包括离线ntds.dit文件操作和通过目录复征服务(DRS)遥程协定查询域控制器。

参考:https://github.com/MichaelGrafnetter/DSInternals

此要领仅适用于Windows,你可以使用下列命令来提取NTLM哈希值:

Save-Module DSInternals -Path C:\Windows\System32\WindowsPowershell\v1.0\Modules
Install-Module DSInternals
Import-Module DSInternals

3.PNG

Get-Bootkey -SystemHivePath 'C:\Users\sanje\Desktop\NTDS\SYSTEM'

4.PNG

Get-ADDBAccount -All -DBPath 'C:\Users\sanje\Desktop\NTDS\ntds.dit' -Bootkey $key

 可以看到NTML哈希值成功被提取。一样,我们再次行使在线暗码破解工具来尝试破解该暗码哈希。

6.PNG

Ntdsxtract

起首我们需要从NTDS.dit文件中提取表格,这里我们可以通过libesedb-tools中的esedbexport来帮我们实现。Libesedb是一个用于走访可扩大存储引擎(ESE)数据库文件(EDB)格式的库。当前,ESE数据库格式被应用于许多不同的应用程序上,如Windows Search,Windows Mail,Exchange,Active Directory(NTDS.dit)等。

参考:https://github.com/libyal/libesedb/

最新下载链接:https://github.com/libyal/libesedb/releases

键入下列命令来下载libesedb库以装置esedbexport,然后解压tar文件。

wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz
tar xf libesedb-experimental-20170121.tar.gz

7.PNG

接着,通过下列命令实现装置:

cd libesedb-20170121
apt-get install autoconf automake autopoint libtool pkg-config
./configure
make
make install
ldconfig

8.PNG

装置实现后,我们就可以行使该工具从ntds.dit文件中转储表格了。命令以下:

esedbexport -m tables /root/Desktop/NTDS/ntds.dit

这将创建一个名为“ntds.dit.export”的新目录,其中包含提取的表。这里你将会提取到两个主表,即datatable 以及 link_table。

9.PNG

现在我们来下载ntdsxtract,这是一个取证工具,能够为我们从NTDS.dit文件中,提取与用户对象,组对象,计算机对象的相干信息和删除对象。

10.PNG

git clone https://github.com/csababarta/ntdsxtract.git

执行下列命令,装置所有设置文件。

cd ntdsxtract
python setup.py build && python setup.py install

11.PNG

提取用户信息以及暗码哈希值

现在借助这三个文件(即Datatable,link_table以及system hive),我们将能够转储用户信息以及NT/LM暗码哈希值。你也能够通过下列命令以John the ripper的格式来获取NTLM暗码。

dsusers.py ntds.dit.export/datatable.4 ntds.dit.export/link_table.6 data --syshive /root/Desktop/NTDS/SYSTEM --passwordhashes --pwdformat john --ntoutfile nthash.txt --lmoutfile lmhash.txt

12.PNG

如你所见,用户信息以及暗码哈希值已成功被提取。

13.PNG

cat data/nthash.txt

现在,我们使用John the ripper来破解这个暗码哈希值。以下:

14.PNG

*参考来源:hackingarticles, secist 编译,

您可能还会对下面的文章感兴趣: