web-dev-qa-db-fra.com

Où est-ce que Active Directory stocke les hachages utilisateur?

Lors d'un test de pénétration pour un client, disposez d'une infrastructure avec plusieurs (5) serveurs Active Directory (Win Serv SUPT 2008 R2) ... J'ai trouvé une belle exploit pour déposer une coque système dans l'un des serveurs et voler le compte d'administration de domaine avec Mimikatz.

Mais le problème est que j'ai utilisé des quarks-pwdump pour vider les hachages ... et je ne suis pas en mesure de jeter tous les haubans de l'utilisateur de domaine (la plupart des hachage de la LM récupérés sont "AAD3B435B51404EAD3B435B51404EE").

Je les ai largués de la principale DC, et un secondaire, tous deux montrant le même résultat. Existe-t-il un moyen de localiser les hachages de mot de passe dans les annonces? Est-il possible de modifier la configuration de domaine pour choisir le DC sur lequel les hachages sont stockés?

4
AnonZed

Les hash sont situés dans NTDS.dit, bien que certains logiciels peuvent injecter dans le processus LSASS et les extraire en mémoire. En termes dont DC à l'utilisation, ces données doivent être répliquées sur chaque contrôleur. Vous pouvez voir des différences mineures où un mot de passe a été modifié sur un seul et pas encore copié les autres ( plus sur les horaires de réplication ), mais il est probable que la majorité sera mise à jour.

quarks-pwdump vous attend à utiliser la méthode Volume Shadow Copy (utilisant Volume Shadow Service - VSS) pour récupérer NTDS.dit manuellement. L'outil peut alors être utilisé pour analyser hash de ce fichier. Cela est contraire au dumping hash locales où les injectent de l'outil dans le processus LSASS. En utilisant VSS (ou les sauvegardes de registre pour le dumping local) peut généralement être plus sûr et plus silencieux que d'utiliser une technique en mémoire. Ceux-ci devraient être préférés lorsque cela est possible, ce qui peut être ce que Quarks tentent de promouvoir.

La méthode VSS est détaillée ici (bien que ce soit pour vider les ruches du Registre, donc doit être adapté à NTDS.dit): http://bernardodamele.blogspot.co.uk/2011/12/dump-windows -password-hashes.html

Un suivi après le NTDS.dit up: http://bernardodamele.blogspot.co.uk/2011/12/dump-windows-password-hashes_16.html

Une fois que vous avez récupéré le fichier, vous pouvez utiliser quarks-pwdump pour analyser avec -dhd et -nt path/to/file/NTDS.dit (Ce qui est un enfer de beaucoup plus facile que d'utiliser NTDSXtract).

3
itscooper