web-dev-qa-db-ja.com

ドメインコントローラで実行した場合、ハッシュダンプはドメインの資格情報もダンプしますか

私が正しく理解していれば、meterpreterhashdumpはSAMファイルの内容をダンプします。ドメインユーザーは、ドメインコントローラーのADデータベースにある必要があります。これはNTDS.ditです。

テストネットワークで、ドメインに参加しているワークステーションでhashdumpを実行すると、期待どおりのドメインユーザーが得られません。

ただし、私のドメインコントローラーでhashdumpを実行すると、ドメインユーザーもダンプされるようです。

NTDS.ditをフェッチしたり、esedbexport + dsusersのような抽出ツールを使用したりして、hashdumpしかできないのはなぜですか。

何かが足りないのではないかと心配です。 DCが実際にダンプする場合、hashdumpが実際にダンプするかallドメインアカウントとハッシュ、およびそれとそれらの抽出の違いは何ですか? NTDS.ditから?

2
Juicy

smart_hashdumpはドメインコントローラーのlsassにクエリを実行してハッシュをダンプしますが、通常のhashdumpは、ドメインコントローラーサーバーに直接ログインするユーザー(通常はIT管理者)がSAMデータベースで利用できるものだけを取得します-コンソール、RDPまたはその他のリモートメカニズムを介して)。

domain_hashdumpは、NTDS.ditファイルを使用して、履歴ユーザー​​を含むすべてのドメインユーザーを抽出します。詳細は- https://www.rapid7.com/db/modules/post/windows/gather/credentials/domain_hashdump -を参照してください

2
atdre

いいえ、不正解です。psexecを介してドメインコントローラにログオンしているときにハッシュダンプを実行するだけです(ターゲットを1(powershell)に設定すると、NTDSからドメインユーザーアカウントがダンプされます。これをリアルタイムでテストしました。ADでアカウントを作成しましたが、ログオンしていませんDCとして(ユーザーとコンピューターmmcを介した標準ユーザー)、ハッシュダンプを再実行すると、それらが取得されます。

0
Rob the Baptist