[译]从域控制器中dump hash

原文地址：http://www.kioptrix.com/blog/recovering-hashes-from-domain-controller-2/

本方法属于后渗透测试，需要管理员/system权限。
首先我们需要一些准备。VSSOwn是一个很好的脚本，它本质上帮我们创建一个Windows域控制器盘符的volume shadow copy，从而我们可以提取NTDS和SYSTEM文件。在Windows 2008&7中，这个特点是默认的。周期性备份盘符同时包含NTDS，SYSTEM和SAM文件。VSSOwn还有其他有趣的特点。
其次，一旦我们恢复了系统文件，我们需要获得hash的软件。下载地址：http://sourceforge.net/projects/libesedb/

首先看看我们的系统信息：

我们可以看到是Windows 2008标准版，同时安装了SP2.同时我们注意到一些域帐号。当我们上传VSSOwn到服务器后，我们使用cscript运行vssown.vbs，命令。因为这是一个命令行工具，所以不需要使用"wscript"。

使用/list选项检查shadow copies。我们可以使用"VSSADMIN"命令，但是这种方法更简单。现在可以从这个shadow copy中拷贝文件了

当使用“/list”选项，我们需要注意要拷贝的路径，在本例中是 “\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3”。现在只需从命令prompt中copy一个文件在device object路径后加上 “windows\ntds\ntds.dit”和“\windows\system32\config\SYSTEM”。

现在把这两个文件转移到bt中，下载/安装esedbtools[该工具只支持32位系统]。然后我们进入esedbtools文件夹。

给命令提供NTDS.dit文件路径作为参数。

生成一个叫ntds.dit.export的文件夹，里面有一个叫datatable的文件。我们需要这个文件来dump密码。

如上图所示，密码出现了。

再次强调esedbdumphash只支持32位，下载地址：http://sourceforge.net/projects/libesedb/