私が正しく理解していれば、meterpreter
のhashdump
はSAMファイルの内容をダンプします。ドメインユーザーは、ドメインコントローラーのADデータベースにある必要があります。これはNTDS.ditです。
テストネットワークで、ドメインに参加しているワークステーションでhashdump
を実行すると、期待どおりのドメインユーザーが得られません。
ただし、私のドメインコントローラーでhashdump
を実行すると、ドメインユーザーもダンプされるようです。
NTDS.ditをフェッチしたり、esedbexport
+ dsusers
のような抽出ツールを使用したりして、hashdump
しかできないのはなぜですか。
何かが足りないのではないかと心配です。 DCが実際にダンプする場合、hashdump
が実際にダンプするかallドメインアカウントとハッシュ、およびそれとそれらの抽出の違いは何ですか? NTDS.ditから?
smart_hashdump
はドメインコントローラーのlsassにクエリを実行してハッシュをダンプしますが、通常のhashdump
は、ドメインコントローラーサーバーに直接ログインするユーザー(通常はIT管理者)がSAMデータベースで利用できるものだけを取得します-コンソール、RDPまたはその他のリモートメカニズムを介して)。
domain_hashdump
は、NTDS.ditファイルを使用して、履歴ユーザーを含むすべてのドメインユーザーを抽出します。詳細は- https://www.rapid7.com/db/modules/post/windows/gather/credentials/domain_hashdump -を参照してください
いいえ、不正解です。psexecを介してドメインコントローラにログオンしているときにハッシュダンプを実行するだけです(ターゲットを1(powershell)に設定すると、NTDSからドメインユーザーアカウントがダンプされます。これをリアルタイムでテストしました。ADでアカウントを作成しましたが、ログオンしていませんDCとして(ユーザーとコンピューターmmcを介した標準ユーザー)、ハッシュダンプを再実行すると、それらが取得されます。