¿Hashdump también vuelca las credenciales del dominio cuando se ejecuta en un controlador de dominio?

Navega tus respuestas
2

Si entiendo correctamente, meterpreter 's hashdump vuelca el contenido del archivo SAM. Los usuarios del dominio deben estar en la base de datos de AD en los controladores de dominio, lo que entiendo es NTDS.dit.

En mi red de prueba, si ejecuto hashdump en una estación de trabajo unida al dominio, no obtengo ningún usuario del dominio como se esperaba.

Sin embargo, en mi controlador de dominio, al ejecutar hashdump también se vuelcan los usuarios de mi dominio.

¿Por qué las personas se molestan en obtener NTDS.dit y usar herramientas de extracción como esedbexport + dsusers cuando solo pueden hashdump ?

Me temo que me estoy perdiendo algo. ¿Alguien podría explicar con mayor claridad si hashdump en un controlador de dominio realmente descarta todas las cuentas de dominio y los hashes, y cuál es la diferencia entre eso y extraerlos de NTDS.dit?

    
pregunta Juicy 18.03.2017 - 17:12
fuente

2 respuestas

2

smart_hashdump consultará el lsass de un Controlador de Dominio para volcar hashes, pero el hashdump regular solo obtendrá lo que está disponible en la base de datos SAM para los usuarios (generalmente administradores de TI) que inician sesión en el servidor del controlador de dominio directamente (ya sea en la consola, a través de RDP, o algún otro mecanismo remoto).

domain_hashdump usa el archivo NTDS.dit para extraer todos los usuarios del dominio, incluidos los históricos. Consulte - enlace : para obtener más información

    
respondido por el atdre 18.03.2017 - 18:23
fuente
0

No, está en lo correcto, simplemente ejecutando hashdump mientras está conectado a un controlador de dominio a través de psexec (establezca target en 1 (powershell) volcará las cuentas de usuario de dominio de NTDS. He probado esto en tiempo real, creando cuentas en AD pero no iniciar sesión en el DC como ellos (usuario estándar a través de usuarios y computadoras mmc) y volver a ejecutar hashdump los recoge.

    
respondido por el Rob the Baptist 08.01.2018 - 06:20
fuente

Lea otras preguntas en las etiquetas

¿Qué tan probable es que la vulnerabilidad de Hot Potato pueda ser explotada en una máquina Windows 2012 actualizada? ¿Es posible la falsificación de DHCP en VMware?