Dove vengono memorizzati gli hash degli utenti in Active Directory?

Question

Dove vengono memorizzati gli hash degli utenti in Active Directory?

#1 da (2 voti)

4

Durante un test di penetrazione per un client, con un'infrastruttura con più (5) server Active Directory (Win Serv 2008 R2) ... Ho trovato un buon exploit per rilasciare una shell di sistema in uno dei server e rubare il account amministratore di dominio con mimikatz.

Ma il problema è che ho usato quarks-pwdump per scaricare gli hash ... E non sono in grado di scaricare tutti gli hash degli utenti del dominio (la maggior parte degli hash LM recuperati sono "aad3b435b51404eeaad3b435b51404ee").

Li ho scaricati dal DC principale e uno secondario, entrambi con lo stesso risultato. C'è un modo per individuare gli hash delle password negli annunci? È possibile modificare la configurazione del dominio per scegliere il DC su cui sono memorizzati gli hash?

operating-systems windows active-directory penetration-test

posta AnonZed 09.01.2014 - 09:07

fonte

1 risposta

Leggi altre domande sui tag operating-systems windows active-directory penetration-test

Perché la forza della password è spesso sottostimata e incerta nel contesto dell'hash della password? Configura OpenVPN come proxy locale per usarlo solo quando necessario

score 2 · Answer 1

Gli hash si trovano in NTDS.dit, sebbene alcuni software possano essere iniettati nel processo LSASS ed estrarli in memoria. In termini di quale DC utilizzare, questi dati dovrebbero essere replicati su ciascun controller. Potresti notare piccole differenze in cui una password è stata modificata su una e non ancora copiate le altre ( altro sui tempi di replica ), ma è probabile che la maggior parte sarà aggiornata.

quarks-pwdump si aspetta che tu usi il metodo Volume Shadow Copy (utilizzando il servizio Shadow Volume - VSS) per recuperare manualmente NTDS.dit. Lo strumento può quindi essere utilizzato per analizzare gli hash da questo file. Questo è in contrasto con il dumping degli hash locali in cui lo strumento inietta nel processo LSASS. L'utilizzo di VSS (o backup del registro per il dumping locale) può generalmente essere più sicuro e più silenzioso rispetto all'utilizzo di una tecnica in memoria. Questi dovrebbero essere preferiti, ove possibile, che potrebbe essere ciò che i Quark stanno cercando di promuovere.

Il metodo VSS è dettagliato qui (anche se questo è quello di scaricare gli hive del registro, quindi deve essere adattato a NTDS.dit): link

Un post successivo su NTDS.dit: link

Una volta recuperato il file, puoi usare quarks-pwdump per analizzarlo con -dhd e -nt path/to/file/NTDS.dit (che è molto più facile che usare NTDSXtract).