Active Directoryはユーザーハッシュをどこに保存しますか?
クライアントの侵入テスト中に、複数の(5)Active Directoryサーバー(Win Serv 2008 R2)を備えたインフラストラクチャを使用しています...サーバーの1つにシステムシェルをドロップし、ドメイン管理者アカウントを盗むすてきなエクスプロイトを見つけましたミミカッツと。
しかし問題は、quarks-pwdumpを使用してハッシュをダンプしたことです...そして、すべてのドメインユーザーハッシュをダンプすることができません(取得されたLMハッシュのほとんどは "aad3b435b51404eeaad3b435b51404ee"です)。
メインDCとセカンダリDCからそれらをダンプしましたが、どちらも同じ結果を示しています。 ADでパスワードハッシュを見つける方法はありますか?ドメイン設定を変更して、ハッシュが保存されているDC=を選択することは可能ですか?
ハッシュはNTDS.ditにありますが、一部のソフトウェアはLSASSプロセスに挿入してメモリ内に抽出できます。使用するDC=に関しては、このデータは各コントローラー間で複製される必要があります。パスワードが1つで変更され、他のパスワードはまだコピーされていない( レプリケーションのタイミングの詳細 )ですが、大部分が最新のものになる可能性があります。
quarks-pwdumpは、ボリュームシャドウコピー方式(ボリュームシャドウサービス-VSSを使用)を使用してNTDS.ditを手動で取得することを想定しています。次に、このツールを使用して、このファイルからハッシュを解析できます。これは、ツールがLSASSプロセスに挿入するローカルハッシュのダンプとは対照的です。 VSS(またはローカルダンプ用のレジストリバックアップ)を使用すると、通常、メモリ内の技術を使用するよりも安全で静かになります。これらは可能な限り優先すべきであり、Quarksが推進しようとしている可能性があります。
VSSメソッドの詳細は以下のとおりです(ただし、これはレジストリハイブをダンプするためのものであり、NTDS.ditに適合させる必要があります)。 http://bernardodamele.blogspot.co.uk/2011/12/dump-windows -password-hashes.html
NTDS.ditのフォローアップ投稿: http://bernardodamele.blogspot.co.uk/2011/12/dump-windows-password-hashes_16.html
ファイルを取得したら、quarks-pwdumpを使用して-dhdおよび-nt path/to/file/NTDS.ditで解析できます(これはNTDSXtractを使用するよりもはるかに簡単です)。