Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен

Содержание статьи

• Работа с ntds.dit
• Получение данных аутентификации без взаимодействия с LSASS
• LLMNR/NBT-NS Poisoning
• Kerberoasting
• AS-REP Roasting
• DCSync
• Получение открытого пароля с помощью DCSync
• Хранилище паролей Windows
• Диспетчер учетных данных
• Вместо заключения

Для успешной атаки на Active Directory, захвата рабочих станций и перемещения по сети настоящему хакеру не обязательно владеть учетными данными пользователей. Но иногда без них не обойтись. А чтобы завладеть учеткой, нужно знать, где в сетях с Active Directory обычно хранятся пароли и как их оттуда добыть.

Другие статьи про атаки на Active Directory

1. Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий
2. Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
3. Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен
4. Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен
5. Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Работа с ntds.dit

Файл ntds.dit представляет собой базу данных, в которой хранится информация Active Directory, такая как сведения о пользователях, группах и членстве в группах. База также включает хеши паролей для всех пользователей в домене.

Первым делом следует получить копию файла ntds.dit. Он расположен на контроллере домена в директории C:WindowsNTDS. Но просто скопировать его не получится, так как этот файл постоянно используется EFS в Active Directory, и оператор (пентестер, редтимер, злоумышленник или исследователь) рискует получить следующее сообщение об ошибке.

Я расскажу о двух способах скопировать данный файл. Первый способ использует скрипт PowerShell, а второй — копирование с помощью встроенных средств Windows.

Скрипт Invoke-NinjaCopy позволяет копировать любые используемые службами Windows файлы, в том числе и ntds.dit. При этом скрипт не запускает посторонних служб и не внедряется в процессы или контекст System. Этот инструмент получает дескриптор диска, что дает ему право на чтение необработанного массива байтов всего тома. Затем скрипт анализирует структуру NTFS и ищет определенную сигнатуру. Таким образом определяет, где находится файл, и побайтово его копирует. Так можно читать даже файлы, которые блокирует LSASS.

Плюс ко всему данный скрипт написан на PowerShell, поэтому запускается из памяти, что позволяет избежать его сохранения на диск.

Второй способ — теневое копирование. Для этого используется установленный в Windows инструмент vssadmin. Сначала следует создать теневую копию с помощью следующей команды:

> vssadmin create shadow /for=C: 

А теперь можно копировать оттуда никем не используемый файл ntds.dit.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Я уже участник «Xakep.ru»

Источник