從ntds.dit中提取hash和域信息

在滲透測試進入內網之後，首要目標就是得到域控許可權，將域中所有用戶的hash值全部跑出來，下載到本地。很多工具比如meterpreter中的smart_hashdump和Impacket中的secretsdump.py都可以做到。

但是有些情況下我只能拷貝出來NTDS.dit文件，然後離線將這些密碼提取出來。今天正好碰到了這一情況，接下來我將詳細的介紹一下如何將密碼導出，當然假設我已經成功將這兩個文件下載到本地：

1. ntds.dit:Extensible storage engine DataBase, version 0x620, checksum 0xa50ff5a, page size 8192, DirtyShutdown, Windows version 6.1 2. systemhive: MS Windows registry file, NT/2000 or above

使用Impacket

Imapacket的作者在twitter上告訴我secretsdump.py有一個本地選項，可以很簡單的做到將密碼提取出來。Impacket實在是太方便了，如果你已經有這兩個文件，可以通過執行以下命令就可以得到hash值。

python secretsdump.py -ntds /root/ntds_cracking/ntds.dit -system /root/ntds_cracking/systemhive LOCAL

稍等一會，它就會將域中所有用戶的NTLM hash值呈現出來：

這是最簡單一種方法，如果你想嘗試著使用ntdsxtract導出表，你可以繼續閱讀～

安裝esedbexport

從NTDS.dit中導出用戶表的第一步就是使用libesedb中的esedbexport，你可以在下面網頁中下載到最新版本：

https://github.com/libyal/libesedb/releases

我使用的版本是：」libesedb-experimental-20170121」

下載並且解壓：

$ wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz$ tar xf libesedb-experimental-20170121.tar.gz$ cd libesedb-20170121/

安裝依賴：

$ sudo apt-get install autoconf automake autopoint libtool pkg-config

進行安裝：

$ ./configure$ make$ sudo make install$ sudo ldconfig

如果一切順利地話，你會在/usr/local/bin/esedbexport得到這個工具。

提取表

$ /usr/local/bin/esedbexport -m tables ntds.dit

這一步驟進行的時間有點長，在我的機器上進行了20-30分鐘，在執行完畢之後，你會看到成功的分離出了表：

兩個重要的表為：datatable以及link_table，他們都會被存放在./ntds.dit.export/文件夾中.

使用ntdsxtract提取域中信息

一旦表被提取出來，很多python工具可以將這些表中的信息進一步提取，比如ntdsxtract就可以完美進行。

安裝命令：

$ git clone https://github.com/csababarta/ntdsxtract.git$ cd ntdsxtract/$ python setup.py build && python setup.py install

執行完畢之後，ntdsxtract就會在你的系統上進行安裝。

提取用戶信息以及密碼hash值

ntdsxtract工具中dsusers.py可以被用來從分離出來的表中提取用戶信息以及NT/LM密碼hash值。前提是具有如下三個文件：

datatablelink_tablesystem hive

這個工具的使用規則為：

dsusers.py --syshive --passwordhashes

–pwdformat選項是選擇以什麼格式進行提取，有john(John format),ocl(oclHashcat),ophc(OphCrack)三個選項。

這個工具還會將所獲得信息輸出出來，這也方便了我們可以將信息寫入到其他文件當中。

以oclHashcat格式提取所有NT和LM的hash，並將它們保存在」output」目錄中的」ntout」和」lmout」中：

$ dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive systemhive --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout |tee all_user_info.txt

執行結束之後，NT的hash值已經以oclHashcat格式提取出來了：

root@kali:~/ntds_cracking# head -n2 output/ntout user1:BC62AC0F8EA9DD1AD703C8B4F0A968C4 user2:0E10081EDBCFB92DE6156F9046FF7881

進一步查看我們提取出來的文件，我們還可以看到其他信息，比如SID,密碼修改時間，以及最後登錄時間等等：

通過hashcat進行簡單hash破解：

$ hashcat -m 1000 output/ntout --username /path/to/wordlist

進一步提取域中計算機信息

Ntdsxtract中還具有一個工具可以從分離出來的表中提取域中計算機信息。這對於離線分析目標信息是非常有用的。

在使用過程中，需要對它提供datatable,輸出目錄以及輸出文件，格式為csv：

執行完畢之後他會在all_computers.csv中寫入所有域中計算機信息。如下：

head -n 1 computer_output/all_computers.csv"Record ID";"Computer name";"DNS name";"GUID";"SID";"OS name";"OS version";"When created";"When changed";"Bitlocker recovery name";"Bitlocker recovery GUID";"Bitlocker volume GUID";"Bitlocker when created";"Bitlocker when changed";"Bitlocker recovery password";"Dial-In Permission"

總結

使用secretsdump.py或者其他方法可以很快的提取域中用戶以及其他密碼哈希等等信息。不過如果你想通過離線對NTDS.dit以及SYSTEM hive文件進行提取的話，希望這篇文章可以給你提供幫助。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！