当在域控制器上运行时，hashdump也会转储域creds吗？

Question

如果我理解正确的话，meterpreter's hashdump会转储SAM文件的内容。域用户应该在域控制器上的AD数据库中，而我所理解的是NTDS.dit。

在我的测试网络上，如果我在域连接工作站上运行hashdump，就不会像预期的那样得到任何域用户。

但是，在我的域控制器上，运行hashdump似乎也会转储我的域用户。

为什么人们会费心获取NTDS.dit并使用诸如esedbexport + dsusers之类的提取工具，而只需要使用hashdump呢？

恐怕我漏掉了什么。有人能更清楚地解释一下，如果DC上的hashdump确实转储了所有域帐户和散列，那么这和从NTDS.dit中提取它们有什么区别呢？

Answer 1

smart_hashdump将查询域控制器的lsass以转储散列，但是常规的hashdump只会为直接登录域控制器服务器的用户(通常是IT管理员)获取SAM数据库中可用的内容(无论是在控制台上，还是通过RDP或其他远程机制)。

domain_hashdump使用NTDS.dit文件提取所有域用户，包括历史用户。有关更多信息，请参见-- https://www.rapid7.com/db/modules/post/windows/gather/credentials/domain_hashdump

Answer 2

不，您是正确的，只要在通过psexec登录到域控制器时运行hashdump (将目标设置为1 (powershell) )将域用户帐户从NTDS转储。我对此进行了实时测试，在AD中创建了帐户，但没有登录到DC (通过用户和计算机mmc的标准用户)并重新运行hashdump来获取它们。