Se ho capito bene, meterpreter 's hashdump scarica il contenuto del file SAM. Gli utenti di dominio dovrebbero trovarsi nel database di AD sui controller di dominio, che a mio avviso è NTDS.dit.
Nella mia rete di test, se eseguo hashdump su una workstation aggiunta al dominio, non ottengo alcun utente del dominio come previsto.
Tuttavia sul mio controller di dominio, l'esecuzione di hashdump sembra anche di scaricare i miei utenti del dominio.
Perché le persone dovrebbero preoccuparsi di recuperare NTDS.dit e utilizzare strumenti di estrazione come esedbexport + dsusers quando possono solo hashdump ?
Temo di perdere qualcosa. Qualcuno potrebbe spiegare in modo più chiaro se hashdump su un controller di dominio esegue effettivamente il dump di tutti gli account e gli hash di dominio tutti e qual è la differenza tra questo ed estraendoli da NTDS.dit?