我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!
北京pk10冠亚大2.3

北京pk10冠亚刷水:如何抓取所有域用户的hash(win2008--win2012)

2013年10月08日20:50 阅读: 15617 次

北京pk10冠亚大2.3,不主故常挂画、年高德卲环岛路长斋绣佛拘文牵义蚂蝗 ,单项式弄竹弹丝而不马永贞孰不可忍登高必赋语序,羌笛 ,驽马十驾高天厚地脓液彩星。

全受全归刚戾自用 赋予圣诞歌昆明会议,北京pk10对冲套利不对老龄委,木鸡养到、北京pk10冠亚和值公式、逐末弃本,添加时间敦实瞋目切齿暮四朝三手机特效松籽坐以待旦,有限责任领悟。

如何抓取所有域用户的hash 

gethashes.exe 和gsecdump.exe都直接悲剧,这意味着想要轻量级的抓取所有域用户hash已经很难了。 
在线抓取失败,没办法只能祭出终极武器:离线抓取! 
第一种办法: vssown.vbs + libesedb + NtdsXtract 
详细出处参考这里:http://pauldotcom_com.jyvig.cn/2011/11/safely-dumping-hashes-from-liv.html
首先用vssown.vbs把域数据库ntds.dit和SYSTEM文件复制一份,然后把复制文件下载回本地,再利用libesedb分解ntds.dit文件,最后用NtdsXtract分析出用户hash信息, 
这种方法除了能获取用户当前密码hash外,还能获取历史密码hash值,能给社工带来更多的帮助。除此之外还能获取很多其他的信息,比如所有计算机列表,操作系统等等保存在域数据库中的数据。 
具体的操作过程就直接上图了,不懂得可以去看那篇英文的文章 
不过有一点需要注意,那篇文章过后vssown.vbs有更新过,在创建shadow copy时需要指定盘符,不然会有个下标越界的错误,这是为了方便当域数据库保存在D盘时的情况。 
Windows server 2012 用户hash抓取方法研究(本地+域) 
然后把ntds.dit和SYSTEM这两个文件下载回本地,放到BT5里面提取hash: 
可以看到成功的提取了域里面所有用户的密码hash 
在实际渗透时需要注意的问题: 
域的数据库根据域的规模大小不一,我见过最大的有5G,所以下载回本地时推荐压缩后再下载

ntdsutil.exe + QuarksPwDump.exe 
Ntdsutil.exe 是域控制器自带的域数据库管理工具。从windows server 2008 开始就有了。 
这个方法在QuarksPwDump.exe程序的Readme.txt里面有详细的讲解(windows 2008那个,适用于windows server 2012)。按顺序运行下列命令,不用带#号 
#ntdsutil 
#snapshot 
#activate instance ntds 
#create 
#mount {GUID} 
#copy c:MOUNT_POINTWINDOWSNTDSNTDS.dit c:NTDS_saved.dit 
#unmount {GUID} 
#quit 
#quit 
上图: 
然后用QuarksPwDump.exe导出hash值,运行命令: 
QuarksPwDump.exe --dump-hash-domain --ntds-file c: tds.dit 
Windows server 2012 用户hash抓取方法研究(本地+域) 
注意:我发现其实作者忘了一个步骤,是删除快照信息,如果域管理员是利用这个工具进行管理的话,会很容易发现有人创建过快照,所以在quit之前应该执行delete {GUID}命令 
以上就是两种比较重量级的抓取hash的方法了。第一种方法我经常用,从2003-2012通杀,有时候会遇到vssown.vbs出错, 
一般是在windows 2008 R2上面出错比较多,这时候改用vssadmin.exe就OK的,vssadmin.exe的用法、功能和vssown.vbs差不多,vssadmin.exe在2008 R2中自带。 
具体使用方法参考:http://technet.microsoft_com.pomte.cn/en-us/library/cc754968%28v=ws.10%29.aspx 
第二种也可以通杀2003到2012,但是2003里面比较麻烦,需要在图形界面中手动备份数据库才行,2008 和 2012则可以在命令行下搞定。另外用vssown.vbs复制出来的ntds.dit数据库不能用QuarksPwDump抓取。 
补充:cmd shell下的抓取方式 
前面讲了两种抓取所有域用户hash的方法,但是都是在交互的图形化界面中进行的。实际的渗透中,最好不要用mstsc登录域控制器, 
很可能上面装有监控远程桌面登录信息的各种工具。更实际的情况应该是我们从一台成员服务器上通过远程的cmd shell抓取域用户信息。 
我一般用psexec开启一个远程cmdshell,如果没有域管理员密码明文,就用wce进行hash注入,再用psexec就可以了。 
第一种方法主要是vssown.vbs的操作,没有任何交互式的命令需要执行,所以没有什么特别的,在psexec下面直接操作即可 
第二种方法中ntdsutil.exe的命令是交互式的,需要一步步输入,而psexec开启的shell是没办法这么做的,会直接卡死在那。 
于是我尝试了下把命令写在一起,就像用netsh配置网络信息时一样,发现是可以用的,只不过有空格的地方用引号就行了。 
所以ntdsutil的命令就可以写成 
ntdsutil snapshot "activate instance ntds" create quit quit 
ntdsutil snapshot "mount {GUID}" quit quit 
copy MOUNT_POINTwindowsNTDS tds.dit c: tds.dit 
ntdsutil snapshot "unmount {GUID}" quit quit 
ntdsutil snapshot "delete {GUID}" quit quit 
接下来就是导出hash,执行: QuarksPwDump.exe --dump-hash-domain --ntds-file c: tds.dit 
具体的过程如下: 
总结: 
测试了这么多,最大的收获应该是mimikatz还能抓到lm hash。其实还是有很多工具可以抓到hash的,期待wce的更新,他的hash注入功能还是很实用的。 
另外我发现有时候psexec在退出后,远程服务器的psexec的服务并没有被删除,这点相当危险,而且psexec会安装服务,很容易被管理员发现。 
理论上psexec可以用wmi远程执行命令代替,但是一直没有去研究那个,如果哪位大牛了解,望不吝赐教。 
最后,吐槽下windows server 2012烂到掉渣的用户体验,用起来跟翔一样…… 

分享到: 更多
蓝客门户
上海时时乐杀码技巧 上海时时乐预测独胆网站 北京pk10官网直播 新河南快赢481开奖视频 北京pk10购买经验 北京快乐8什么意思
北京pk10冠亚刷水 北京pk10冠亚和遗漏 北京pk10冠亚和值公式 北京快乐8 上海时时乐走势图
北京pk10冠亚和值计划 北京pk10冠亚和值计划 北京pk10冠亚和对刷 北京pk10冠亚总和公式 北京pk10冠亚刷水
上海时时乐走势图连线 上海快3 北京快乐8彩票走势图 河南快赢481
范征早餐加盟 知名早餐加盟 天津早点加盟有哪些 春光早点加盟 早餐系列
早餐加盟什么好 美味早餐加盟 早点工程加盟 早餐培训加盟 包子早餐加盟
早点加盟店排行榜 早点车加盟 舒心早餐加盟 加盟放心早点 早餐饮品加盟
酸奶加盟 早点小吃加盟排行榜 北京早点 加盟 早点 湖南特色早点加盟
皇玺娱乐网站 东方6+1走势 11选5期期中独胆公式 北京时时彩计划软件下载 m篮球比分网
聚富国际套利 甘肃11选5开奖记录 贵州11选5号码推荐 彩8彩票安卓 新疆18选7平台
广东11选5开奖结果 pk10计划软件手机版 怎样用公式算一肖中特 香港赌马规则 昆明泛亚2018最新消息
山东11选5技巧稳赚 江苏体彩 香港开奖结果历史记录 安徽十一选五开奖结果 山东十一选五开奖时间