内网学习笔记六 | 域控制器安全

​ 在通常情况下，即使拥有管理员权限，也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件（活动目录始终访问这个文件，所以文件被禁止读取）。使用 Windows 本地卷影拷贝服务，就可以获得文件的副本。在本章中，将介绍常用的提取 ntds.dit文件的方法，并对非法提取ntds.dit 文件、通过 MS14-068漏洞攻击域控制器等恶意行为给出防范建议。

6.1 使用卷影拷贝服务提取ntds.dit

6.1.1 通过ntdsutil.exe 提取ntds.dit

6.1.2 利用vssadmin提取ntds.dit

6.1.3 利用vssown.vbs脚本提取ntds.dit

6.1.4 使用ntdsutil的IFM创建卷影拷贝

6.1.5 使用diskshadow导出ntds.dit

6.1.6 监控卷影拷贝服务的使用情况

6.2 导出ntds.dit中的散列值

6.2.1 使用esedbexport恢复ntds.dit

6.2.2 使用impacket工具包导出散列值

6.2.3 在Windows下解析ntds.dit并导出域账号和域散列值

6.3 利用dcsync获取域散列值

6.3.1 使用mimikatz 转储域散列值

6.3.2 使用dcsync获取域账号和域散列值

6.4 使用metasploit获取域散列值

1. Psexec_ntdsgrab模块使用
2. 基于meterpreter会话获取域账号和域散列值

6.5 使用vshadow.exe 和QuarksPwDump.exe导出域账号和域散列值

6.6 Kerberos域用户提权漏洞分析与防范

6.6.1 测试环境

6.6.2 PyKEK工具包

1. 工具说明
2. 查看域控制器的补丁安装情况
3. 查看用户的SID
4. 生成高权限的票据
5. 查看注入前的权限
6. 清除内存中的所有票据
7. 将高权限票据注入内存
8. 验证权限

6.6.3 goldenPac.py

6.6.4 在Metasploit中进行测试

6.6.5 防范建议