shadow copy 也被称作 Volume Shadow Service (VSS)
是一种 Microsoft 备份技术,允许创建文件或整个卷的快照。
为了管理卷影副本,Microsoft 签名的二进制文件 vshadow.exe作为Windows SDK 的一部分提供。
作为域管理员,我们可以滥用 vshadow 实用程序来创建卷影副本,以便提取 Active Directory 数据库 NTDS.dit 数据库文件。一旦我们获得了数据库的副本,我们就需要 SYSTEM 配置单元,然后我们可以在本地 Kali 计算机上离线提取每个用户凭据。
我们将以jeffadmin域管理员用户身份连接到 DC1 域控制器。在这里,我们将启动提升的命令提示符并使用-nw选项运行vshadow实用程序来禁用 writers,这会加快备份创建速度并包含-p选项以将副本存储在磁盘上。
vshadow.exe -nw -p C:
成功拍摄快照后,我们应该记下卷影副本设备名称。
现在,我们将通过指定卷影副本设备名称 并添加完整的ntds.dit路径,将整个 AD 数据库从卷影副本复制到 C:驱动器根文件夹。
reg.exe save hklm\system c:\system.bakimpacket-secretsdump -ntds ntds.dit.bak -system system.bak LOCAL
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
