¿Dónde almacena el Active Directory los hashes?

Navega tus respuestas
4

Durante una prueba de penetración para un cliente, tener una infraestructura con múltiples (5) servidores de Active Directory (Win Serv 2008 R2) ... Encontré un buen exploit para colocar un shell del sistema en uno de los servidores y robé el cuenta de administrador de dominio con mimikatz.

Pero el problema es que usé quarks-pwdump para volcar los hashes ... Y no puedo volcar todos los hashes del usuario del dominio (la mayoría de los hashes LM recuperados son "aad3b435b51404eeaad3b435b51404ee").

Los descargué del DC principal, y uno secundario, ambos mostrando el mismo resultado. ¿Hay una manera de localizar los hashes de contraseña en los anuncios? ¿Es posible cambiar la configuración del dominio para elegir el DC en el que se almacenan los hash?

    
pregunta AnonZed 09.01.2014 - 09:07
fuente

1 respuesta

2

Los hashes se encuentran en NTDS.dit, aunque algunos programas pueden inyectarse en el proceso LSASS y extraerlos de la memoria. En términos de qué DC utilizar, estos datos deben replicarse en cada controlador. Puede ver pequeñas diferencias cuando se cambió una contraseña en una y aún no se han copiado las otras ( más información sobre los tiempos de replicación ), pero es probable que la mayoría esté actualizada.

quarks-pwdump espera que uses el método de instantáneas de volumen (utilizando Volume Shadow Service - VSS) para recuperar NTDS.dit manualmente. La herramienta se puede usar para analizar hashes de este archivo. Esto contrasta con el volcado de hashes locales donde la herramienta se inyecta en el proceso LSASS. El uso de VSS (o las copias de seguridad del registro para el volcado local) generalmente puede ser más seguro y silencioso que usar una técnica en memoria. Estos deben ser preferibles cuando sea posible, lo que puede ser lo que los quarks están tratando de promover.

El método VSS se detalla aquí (aunque esto es para volcar las secciones del registro, por lo que debe adaptarse a NTDS.dit): enlace

Una publicación de seguimiento en NTDS.dit: enlace

Una vez que hayas recuperado el archivo, puedes usar quarks-pwdump para analizarlo con -dhd y -nt path/to/file/NTDS.dit (que es mucho más fácil que usar NTDSXtract).

    
respondido por el itscooper 09.01.2014 - 10:37
fuente

Lea otras preguntas en las etiquetas

¿Por qué a menudo se subestima e insegura la seguridad de las contraseñas en el contexto del hash de contraseñas? Guía para el desafío de restablecimiento de contraseña "basado en imágenes"