NTDS.DITから個々のレコードを抽出する
非常に大きなNTDS.DITファイルを使用しています。約20GBです。
もともと、NTDS.DITファイルからすべてのハッシュをダンプしようとしていました。 meterpreterドメインハッシュダンプ、スマートハッシュダンプ、および単にドメインコントローラーでハッシュダンプを使用してみました。 Meterpreterから毎回エラーが発生しました。
これに遭遇したら、シャドウコピートリックを使用してNTDS.DITファイルのコピーを取得し、すべてのハッシュの抽出を開始しました(libesedbおよびNTDSextractを使用)。ただし、ほぼ1週間が経過しており、libexedbexportがまだ実行されている場合でも、3週間よりも早く情報を取得できることを期待しています(現在は3週間ペースで進んでいます)。
次のステップは、ユーザー名に基づいて個々のレコードを抽出することです。いくつかグーグルを実行しましたが、1つまたは複数のハッシュをより迅速に抽出する方法を見つけることができませんでした。
これは可能ですか?これを行うために使用できるアプリケーションはありますか?任意の助けいただければ幸いです。
ここに1つの方法がありますが、ボーナスはすべてリモートで実行されることです- https://www.dsinternals.com/en/retrieving-active-directory-passwords-remotely/
著者は全体をダンプする方法も示していますが、もちろんこれはお勧めできません。また、ditファイルをローカルにコピーし、split(1)して、ファイルを1つずつ取り出します。