Active Directory在哪里存储用户散列？

Question

在客户端的渗透测试中，具有多个Active Directory服务器的基础设施(Win Serv 2008 R2).我发现了一个很好的漏洞，可以将一个系统外壳丢到其中一个服务器中，并盗取了mimikatz的域管理帐户。

但问题是，我用夸克-pwdump来扔掉哈希.而且我无法转储所有域用户散列(所检索的大部分LM散列都是"aad3b435b51404eeaad3b435b51404ee")。

我将它们从主DC和二级DC中丢弃，两者显示出相同的结果。有办法定位广告中的密码散列吗？是否可以更改域配置以选择存储散列的DC？

Answer 1

散列位于NTDS.dit中，尽管有些软件可以插入LSASS进程并在内存中提取它们。对于要使用的DC，应在每个控制器之间复制此数据。您可能会看到一个密码已在其中一个上更改而尚未复制其他密码(关于复制时间的更多信息)的小差异，但大多数密码很可能是最新的。

夸克-pwdump希望您使用卷影复制方法(使用卷影服务- VSS)手动检索NTDS.dit。然后，可以使用该工具解析该文件中的散列。这与工具注入LSASS进程的本地散列形成了对比。使用VSS (或用于本地转储的注册表备份)通常比使用内存中的技术更安全和安静。在可能的情况下，这些应该是首选的，这可能是夸克试图促进的。

这里详细介绍了VSS方法(尽管这是为了转储注册表单元，所以需要适应NTDS.dit)：http://bernardodamele.blogspot.co.uk/2011/12/dump-windows-password-hashes.html

NTDS.dit：http://bernardodamele.blogspot.co.uk/2011/12/dump-windows-password-hashes_16.html上的后续文章

一旦检索到文件，就可以使用夸克-pwdump使用-dhd和-nt path/to/file/NTDS.dit解析它(这比使用NTDSXtract要容易得多)。