如何抓取所有域用户的hash(win2008--win2012)
如何抓取所有域用户的hash
gethashes.exe 和gsecdump.exe都直接悲剧,这意味着想要轻量级的抓取所有域用户hash已经很难了。
在线抓取失败,没办法只能祭出终极武器:离线抓取!
第一种办法: vssown.vbs + libesedb + NtdsXtract
详细出处参考这里:http://pauldotcom.com/2011/11/safely-dumping-hashes-from-liv.html
首先用vssown.vbs把域数据库ntds.dit和SYSTEM文件复制一份,然后把复制文件下载回本地,再利用libesedb分解ntds.dit文件,最后用NtdsXtract分析出用户hash信息,
这种方法除了能获取用户当前密码hash外,还能获取历史密码hash值,能给社工带来更多的帮助。除此之外还能获取很多其他的信息,比如所有计算机列表,操作系统等等保存在域数据库中的数据。
具体的操作过程就直接上图了,不懂得可以去看那篇英文的文章
不过有一点需要注意,那篇文章过后vssown.vbs有更新过,在创建shadow copy时需要指定盘符,不然会有个下标越界的错误,这是为了方便当域数据库保存在D盘时的情况。
Windows server 2012 用户hash抓取方法研究(本地+域)
然后把ntds.dit和SYSTEM这两个文件下载回本地,放到BT5里面提取hash:
可以看到成功的提取了域里面所有用户的密码hash
在实际渗透时需要注意的问题:
域的数据库根据域的规模大小不一,我见过最大的有5G,所以下载回本地时推荐压缩后再下载
ntdsutil.exe + QuarksPwDump.exe
Ntdsutil.exe 是域控制器自带的域数据库管理工具。从windows server 2008 开始就有了。
这个方法在QuarksPwDump.exe程序的Readme.txt里面有详细的讲解(windows 2008那个,适用于windows server 2012)。按顺序运行下列命令,不用带#号
#ntdsutil
#snapshot
#activate instance ntds
#create
#mount {GUID}
#copy c:MOUNT_POINTWINDOWSNTDSNTDS.dit c:NTDS_saved.dit
#unmount {GUID}
#quit
#quit
上图:
然后用QuarksPwDump.exe导出hash值,运行命令:
QuarksPwDump.exe --dump-hash-domain --ntds-file c: tds.dit
Windows server 2012 用户hash抓取方法研究(本地+域)
注意:我发现其实作者忘了一个步骤,是删除快照信息,如果域管理员是利用这个工具进行管理的话,会很容易发现有人创建过快照,所以在quit之前应该执行delete {GUID}命令
以上就是两种比较重量级的抓取hash的方法了。第一种方法我经常用,从2003-2012通杀,有时候会遇到vssown.vbs出错,
一般是在windows 2008 R2上面出错比较多,这时候改用vssadmin.exe就OK的,vssadmin.exe的用法、功能和vssown.vbs差不多,vssadmin.exe在2008 R2中自带。
具体使用方法参考:http://technet.microsoft.com/en-us/library/cc754968%28v=ws.10%29.aspx
第二种也可以通杀2003到2012,但是2003里面比较麻烦,需要在图形界面中手动备份数据库才行,2008 和 2012则可以在命令行下搞定。另外用vssown.vbs复制出来的ntds.dit数据库不能用QuarksPwDump抓取。
补充:cmd shell下的抓取方式
前面讲了两种抓取所有域用户hash的方法,但是都是在交互的图形化界面中进行的。实际的渗透中,最好不要用mstsc登录域控制器,
很可能上面装有监控远程桌面登录信息的各种工具。更实际的情况应该是我们从一台成员服务器上通过远程的cmd shell抓取域用户信息。
我一般用psexec开启一个远程cmdshell,如果没有域管理员密码明文,就用wce进行hash注入,再用psexec就可以了。
第一种方法主要是vssown.vbs的操作,没有任何交互式的命令需要执行,所以没有什么特别的,在psexec下面直接操作即可
第二种方法中ntdsutil.exe的命令是交互式的,需要一步步输入,而psexec开启的shell是没办法这么做的,会直接卡死在那。
于是我尝试了下把命令写在一起,就像用netsh配置网络信息时一样,发现是可以用的,只不过有空格的地方用引号就行了。
所以ntdsutil的命令就可以写成
ntdsutil snapshot "activate instance ntds" create quit quit
ntdsutil snapshot "mount {GUID}" quit quit
copy MOUNT_POINTwindowsNTDS tds.dit c: tds.dit
ntdsutil snapshot "unmount {GUID}" quit quit
ntdsutil snapshot "delete {GUID}" quit quit
接下来就是导出hash,执行: QuarksPwDump.exe --dump-hash-domain --ntds-file c: tds.dit
具体的过程如下:
总结:
测试了这么多,最大的收获应该是mimikatz还能抓到lm hash。其实还是有很多工具可以抓到hash的,期待wce的更新,他的hash注入功能还是很实用的。
另外我发现有时候psexec在退出后,远程服务器的psexec的服务并没有被删除,这点相当危险,而且psexec会安装服务,很容易被管理员发现。
理论上psexec可以用wmi远程执行命令代替,但是一直没有去研究那个,如果哪位大牛了解,望不吝赐教。
最后,吐槽下windows server 2012烂到掉渣的用户体验,用起来跟翔一样……
附件是一份详细测试的pdf,跟这里内容差不多,就多了点本地测试的图片,私自加了“www.t00ls.net首发”字眼,希望木有影响,第一次发帖,技术含量不高,各位大牛贱笑了。。。
附件:windows server 2012 用户hash抓取方法研究(本地 域).pdf http://lcx.cc/File.asp?md5=d90436385a3af22d979c71bef23fd631
补充下各工具的下载地址:
http://code.google.com/p/quarkspwdump/
http://ptscripts.googlecode.com/svn/trunk/windows/vssown.vbs
http://sourceforge.net/projects/libesedb/
http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_0.zip
转自核攻击
神器mimi不行了。
转载于:https://www.cnblogs.com/sealione/archive/2013/06/07/3123928.html
如何抓取所有域用户的hash(win2008--win2012)相关推荐
- 抖音短视频数据抓取实战系列(三)——Fiddler抓取抖音用户详细信息数据
抖音短视频数据抓取实战系列(三)--Fiddler抓取抖音用户详细信息数据 项目目录 1.抖音短视频数据抓取实战系列(〇)--前言 2.抖音短视频数据抓取实战系列(一)--模拟器的选择与设置 3.抖音 ...
- 渗透技巧——利用netsh抓取连接文件服务器的NTLMv2 Hash
0x00 前言 在上篇文章<Windows下的密码hash--NTLM hash和Net-NTLM hash介绍>比较了NTLM hash和Net-NTLM hash的区别,本文将继续对N ...
- 数方大数据抓取网站访问用户,精准度百分之九十以上。
什么是运营商大数据? 运营商依靠自身拥有的庞大客户群,且可以获取用户高频次.高互动性的实时动态轨迹的通话和上网数据.这么看来运营商能够获取到的数据,拥有互联网公司所没能有的量级和详细程度.虽然互联网巨 ...
- [python]抓取网易云用户的听歌排行
本文使用到的工具是Selenium.简单的多Selenium就是一个web自动化测试工具,提供IDE以及插件多种方式. 本文的目标是使用Selenium抓取网易云音乐用户的所有时间的听歌排行. 下面结 ...
- ECCV 2022 | 面向高光和透明物体感知与抓取的域随机化增强的深度仿真与修复
关键词:深度仿真 深度修复 高光透明物体 导 读 本文是计算机视觉顶级会议 ECCV 2022入选论文 Domain Randomization-Enhanced Depth Simulation ...
- 零授权 抓取新浪微博任何用户的微博内容
一.微博API 使用微博API获取数据是最简单方便,同时数据完整性高的方式,缺点是微博开发平台对于API的调用次数做了严格的限制.具体使用过程参考http://open.weibo.com/,有详细的 ...
- python抓取抖音用户画像,摩羯天蝎居然刷得最多?
日刷抖音三百条,悠悠一笑乐逍遥,夜深忽醒窗外事,不知今夕是何年. 要从上个月说起,那天晚上准备睡觉了,然后朋友突然发来一个抖音热门视频. 一向一本正经苟于工作的我,竟然沉醉于小姐姐的甜蜜的笑容,加之想 ...
- python决策树预测用户等级_使用python抓取婚恋网用户数据并用决策树生成自己择偶观...
最近在看<机器学习实战>的时候萌生了一个想法,自己去网上爬一些数据按照书上的方法处理一下,不仅可以加深自己对书本的理解,顺便还可以在github拉拉人气.刚好在看决策树这一章,书里面的理论 ...
- Java编写抓取用户信息代码_[代码全屏查看]-一个基于JAVA的知乎爬虫,抓取知乎用户基本信息...
[1].[代码] [Java]代码 作者:卧颜沉默 链接:https://www.zhihu.com/question/36909173/answer/97643000 来源:知乎 著作权归作者所有. ...
最新文章
- HAL Flat Display Driver Demystified
- django 快速实现注册(四)
- CodeForces - 1304D Shortest and Longest LIS(构造+贪心)
- linux中自动挂载脚本,LIUNX一键自动挂载脚本,宝塔磁盘LIUNX一键分区磁盘 | 帮助信息-动天数据...
- 用html还是xml做网页好,XML与HTML的比较
- 数字图像处理 关于matlab的图像处理操作
- 研究手机直播流媒体框架
- css背景图铺满后图片变模糊的解决办法
- 如何下载fatjar
- synchdem matlab,数字高程模型(DEM)移动插值算法
- html5语音听写流式,iOS 讯飞语音听写(流式版)
- 想要制作出好看的软蜡笔画?来看这份JixiPix Pastello Pro操作指南!
- 九宫格一共有多少4个相连的点?(C5H4)
- React Native系列——WebView组件使用介绍
- linux安装光盘下载,教你如何下载Fedora 7安装光盘
- 计算机游戏的作文,玩电脑游戏作文400字
- linux下生成ssh密钥并获取密钥
- 人大金仓适配mysql和oracle函数适配
- 套接字socket选项TCP_NODELAY、TCP_CORK与TCP_QUICKACK
- IIS上asp.net网站无法访问
热门文章
- java xms xmx 默认值_JVM启动参数-Xmx的默认值是多少?
- java 输出视频文件格式_java – 如何从各种视频文件格式中提取元数据?
- android重复拉起app首页_Android进程管理:Framework层概念
- 编写函数实现员工信息录入和输出_Excel---最牛的员工档案模板,非常智能化
- java二叉树深度优先遍历会考不递归的吗_树的广度优先遍历和深度优先遍历(递归非递归、Java实现)...
- octave安装 缺java_在Octave中导入Java类
- mysql登录跳转不了_Session过期后实现自动跳转登录页面
- 2019学python还是php_2019学python还是php
- java runnable 使用_java – 在哪里使用可调用以及在哪里使用Runnable接口?
- c# 从一组数中随机抽取一定个数_C#产生指定范围随机数的几种方法-亮术网