hashdump esegue anche il dump dei domini del dominio quando viene eseguito su un controller di dominio

2

Se ho capito bene, meterpreter 's hashdump scarica il contenuto del file SAM. Gli utenti di dominio dovrebbero trovarsi nel database di AD sui controller di dominio, che a mio avviso è NTDS.dit.

Nella mia rete di test, se eseguo hashdump su una workstation aggiunta al dominio, non ottengo alcun utente del dominio come previsto.

Tuttavia sul mio controller di dominio, l'esecuzione di hashdump sembra anche di scaricare i miei utenti del dominio.

Perché le persone dovrebbero preoccuparsi di recuperare NTDS.dit e utilizzare strumenti di estrazione come esedbexport + dsusers quando possono solo hashdump ?

Temo di perdere qualcosa. Qualcuno potrebbe spiegare in modo più chiaro se hashdump su un controller di dominio esegue effettivamente il dump di tutti gli account e gli hash di dominio tutti e qual è la differenza tra questo ed estraendoli da NTDS.dit?

    
posta Juicy 18.03.2017 - 18:12
fonte

2 risposte

2

smart_hashdump interrogherà un lsass di un controller di dominio per eseguire il dump degli hash, ma il normale% co_de otterrà solo ciò che è disponibile nel database SAM per gli utenti (solitamente amministratori IT) che accedono direttamente al server del controller di dominio (se on-console, via RDP, o qualche altro meccanismo remoto).

hashdump utilizza il file NTDS.dit per estrarre tutti gli utenti del dominio, compresi quelli storici. Vedi - link - per ulteriori informazioni

    
risposta data 18.03.2017 - 19:23
fonte
0

No, sei corretto, esegui semplicemente hashdump mentre sei loggato su un controller di dominio tramite psexec (l'obiettivo impostato su 1 (PowerShell) scaricherà gli account utente di dominio dal NTDS. L'ho testato in tempo reale, creando account in AD ma non accedere alla DC come loro (utente standard tramite utenti e computer mmc) ed eseguire nuovamente l'hashdump.

    
risposta data 08.01.2018 - 07:20
fonte

Leggi altre domande sui tag