Se ho capito bene, meterpreter
's hashdump
scarica il contenuto del file SAM. Gli utenti di dominio dovrebbero trovarsi nel database di AD sui controller di dominio, che a mio avviso è NTDS.dit.
Nella mia rete di test, se eseguo hashdump
su una workstation aggiunta al dominio, non ottengo alcun utente del dominio come previsto.
Tuttavia sul mio controller di dominio, l'esecuzione di hashdump
sembra anche di scaricare i miei utenti del dominio.
Perché le persone dovrebbero preoccuparsi di recuperare NTDS.dit e utilizzare strumenti di estrazione come esedbexport
+ dsusers
quando possono solo hashdump
?
Temo di perdere qualcosa. Qualcuno potrebbe spiegare in modo più chiaro se hashdump
su un controller di dominio esegue effettivamente il dump di tutti gli account e gli hash di dominio tutti e qual è la differenza tra questo ed estraendoli da NTDS.dit?