ドメインコントローラで実行した場合、ハッシュダンプはドメインの資格情報もダンプしますか
私が正しく理解していれば、meterpreterのhashdumpはSAMファイルの内容をダンプします。ドメインユーザーは、ドメインコントローラーのADデータベースにある必要があります。これはNTDS.ditです。
テストネットワークで、ドメインに参加しているワークステーションでhashdumpを実行すると、期待どおりのドメインユーザーが得られません。
ただし、私のドメインコントローラーでhashdumpを実行すると、ドメインユーザーもダンプされるようです。
NTDS.ditをフェッチしたり、esedbexport + dsusersのような抽出ツールを使用したりして、hashdumpしかできないのはなぜですか。
何かが足りないのではないかと心配です。 DCが実際にダンプする場合、hashdumpが実際にダンプするかallドメインアカウントとハッシュ、およびそれとそれらの抽出の違いは何ですか? NTDS.ditから?
smart_hashdumpはドメインコントローラーのlsassにクエリを実行してハッシュをダンプしますが、通常のhashdumpは、ドメインコントローラーサーバーに直接ログインするユーザー(通常はIT管理者)がSAMデータベースで利用できるものだけを取得します-コンソール、RDPまたはその他のリモートメカニズムを介して)。
domain_hashdumpは、NTDS.ditファイルを使用して、履歴ユーザーを含むすべてのドメインユーザーを抽出します。詳細は- https://www.rapid7.com/db/modules/post/windows/gather/credentials/domain_hashdump -を参照してください
いいえ、不正解です。psexecを介してドメインコントローラにログオンしているときにハッシュダンプを実行するだけです(ターゲットを1(powershell)に設定すると、NTDSからドメインユーザーアカウントがダンプされます。これをリアルタイムでテストしました。ADでアカウントを作成しましたが、ログオンしていませんDCとして(ユーザーとコンピューターmmcを介した標準ユーザー)、ハッシュダンプを再実行すると、それらが取得されます。