Know it Then Hack it，网上dump域用户hash的方式五花八门，少有站在防御者视角对不同的dump方式进行梳理剖析和取证定位的文章，掌握不同dump方式的底层原理才能在EDR对抗时不慌不乱、在应急响应中抓住重点，选择最适合的手段快速达到自己的目的。本文大纲如下：

基本概念

NTDS.dit

ntds.dit为ad的数据库（C:\Windows\NTDS），内容有域用户、域组、域用户hash等信息，域控上的ntds.dit只有可以登录到域控的用户（如域管用户、DC本地管理员用户）可以访问。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash，ntds.dit是加密的，需要获取system注册表来解密。

VSS

Volume Shadow Copy Service(VSS，又称卷影复制服务)是Windows系统中的一组COM接口，提供文件备份和恢复功能，Windows系统还原功能、WindowsServer备份等系统备份相关功能就是基于VSS来实现的。

NTFS

NTFS（New Technology File System），是Microsoft公司开发的专用文件系统，从Windows NT 3.1开始成为Windows NT家族的默认文件系统。在NTFS中，所有文件数据——文件名、创建日期、访问权限，以及内容——都作为元数据储存在主文件表(MFT)中。

Dump手段归纳

无论使用哪一种工具，万变不离其宗，最终都是通过如下两种方式Dump出域用户Hash：

• Lsass内存Dump：通过读取lsass进程的内存检索出所有域用户的NTLMhash

• NTDS文件解密：通过各种方式拿到NTDS.dit数据库文件和SYSTEM注册表文件，解密获得Hash

LSASS进程转储hash

1. lsadump::lsa转储hash

mimikatz的 "lsadump::lsa" 通过注入lsass.exe进程检索用户的hash，该模块首先利用LsaOpenPolicy打开LSA 策略的句柄，使用该句柄获取到域信息，然后通过SamConnect连接SAM的API，获取域用户名和RID的句柄，最后通过对lsass进程打补丁(/patch)的方式利用用户名检索到NTLM hash信息。
详情请看：https://blog.3or.de/mimikatz-deep-dive-on-lsadumplsa-patch-and-inject.html
完整的执行命令如下：
mimikatz.exe "privilege::debug" "log hash.txt" "lsadump::lsa /patch" exit
这种方式虽然简单好用，但需要直接对lsass.exe进程进行操作，所以也是EDR/HIPS软件的重点监测和拦截对象，在有终端防护软件的情况下谨慎使用。

取证视角

通过lsass.exe内存转储域用户hash信息并没有在security日志中产生日志条目，由于对lsass.exe进行转储操作需要获取lsass.exe的如下权限（PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_VM_OPERATION | PROCESS_QUERY_INFORMATION ），所以可以通过单独配置sysmon监控有哪些进程请求了lsass.exe的上述权限来监测有没有该攻击行为产生。

卷影复制服务导出

1. ntdsutil导出NTDS.dit

Ntdsutil 是一个命令行工具，是网域控制器生态系统的一部分，其目的是使管理员能够访问和管理 windows Active Directory 数据库。然而，它可能被渗透测试人员和红队滥用，以获取现有 ntds.dit 文件的快照.
第一步，创建NTDS.dit和System的快照，放在c:\users\tmp目录下 （tmp路径之前不存在）
ntdsutil "ac i ntds" ifm "create full c:\users\tmp" q q
其中 ac i ntds 是 activate instance ntds 的简写；
执行成功在temp路径对应文件夹生成ntds.dit和SYSTEM、SECURITY文件：
第二步，把 ntds.dit 和 system 文件打包下载到本地，本地使用NTDSDumpEx或者其他工具解析 ntds.dit 和system文件获取域hash，保存为 domain.txt
NTDSDumpEx -d ntds.dit -s system -o domain.txt

取证视角

ID 4799 ntdsutil进程枚举本地安全组（administrators组和内置的Backup Operators组）
ID 4799 调用卷影复制服务器进程 VSSVC.exe 枚举本地安全组（administrators组和内置的Backup Operators组）
ID 4904 调用卷影复制服务器程序 VSSVC.exe 添加一条安全日志记录
![image.png]ID 4905 调用卷影复制服务器程序 VSSVC.exe 取消注册安全事件源。

2. vssadmin导出NTDS.dit

vssadmin list shadows // 查看当前系统卷影拷贝
第一步，创建C盘卷影拷贝（ntds.dit文件所在磁盘）
vssadmin create shadow /for=c:
第二步，从卷影拷贝中复制出来ntds和system
copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\ntds\ntds.dit ntds.dit
copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\system32\config\SYSTEM SYSTEM
第三步，删除先前创建的C盘卷影拷贝
vssadmin Delete Shadows /For=C: /Quiet
第四步，本地使用NTDSDumpEx解析 ntds.dit 和system文件获取域hash，保存为 domain.txt
NTDSDumpEx -d ntds.dit -s system -o domain.txt
此外可以利用 vssadmin list shadows 查看卷影拷贝。

取证视角

在直接使用卷影拷贝服务器dump ntds.dit的过程中只产生了两条VSS服务的日志记录，对比之前ntdsutil少了美剧本地安全组的相关操作。由于前后两条日志同时记录，所以在日志hunting 的时候需要结合多个日志进行分析，得到明确的结果，相对来说手法也比较干净。有趣的是，这种获取域/计算机Hash的方式不是攻击者的专属，一些终端安全工具也会利用这种方式判断系统账户是否是弱口令 :P
ID 4904 调用 调用卷影复制服务程序 VSSVC.exe 注册安全事件源
ID 4905 调用 调用卷影复制服务程序 VSSVC.exe 注册安全事件源结束。

3. diskshadow导出 NTDS.dit

DiskShadow用于帮助管理员执行与卷影复制服务（VSS）相关的操作。该二进制文件有两种模式：交互模式和脚本模式，因此可以使用脚本文件，其中包含所有必要的命令，以自动执行NTDS.DIT提取过程。脚本文件可以包含以下行，以便创建新的卷影副本、装载新驱动器、执行复制命令并删除卷影副本。

set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
delete shadows volume %someAlias%
reset

diskshadow需要在system32路径下执行：
C:\windows\system32> diskshadow.exe /s c:/users/administrator/desktop/diskshadow.txt

取证视角

由于本质上也是调用VSS来导出NTDS文件，所以Security日志记录和Ntdsutil的日志记录是完全一致的：
依次是VSSVC.exe枚举Administrators组（4799）、Backup Operators组（4799）、VSSVC.exe注册安全事件源（4904）和取消注册（4905）；

此外还有 esentutl 工具可以导出 NTDS 文件，由于原理也是使用VSS服务，产生的日志大同小异。

NTFS分区读取

1. NTFSCopy导出NTDS.dit

Windows所有文件都是建立在NTFS分区系统之上的，通过读取原始卷从 NTFS 分区卷复制文件，这使攻击者能够访问被 Active Directory 锁定的文件，而不会向任何监视系统发出警报，Windows本身不提供提供可以直接对NTFS分区上的文件进行操作的工具，需要借助Windows API来自行编写工具。
当你有一种工具需求的时候，Github搜一搜，总能给你带来惊喜，比如这块NTFSCopy（https://github.com/RedCursorSecurityConsulting/NTFSCopy）就可以实现你想要的；
第一步，使用 NTFSCopy 拷贝出 ntds.dit 文件
NTFSCopy.exe C:\Windows\NTDS\ntds.dit C:\Windows\Temp\ntds.dit

取证视角

可惜的是Windows Security日志并不会记录对NTFS分区直接读取的操作，所以如果没有额外配置的日志记录或者终端安全产品借助下很难定位出该种攻击类型。

SYSTEM注册表导出

1. reg save system

直接使用系统reg命令保存SYSTEM注册表
reg.exe save HKLM\SYSTEM system

取证视角

注册表操作默认也不在Security日志的记录范围，所以给予默认日志配置这一步也很难定位。

NTDS文件解密出hash

在 拿到 NTDS.dit 文件和 SYSTEM注册表后，在攻击者的本地操作机器上使用mimikatz或者NTDSDumpEx等各种工具可以直接从NTDS文件中解析出域用户的hash，这一步由于一般不会在受害机器上执行，所以没有取证分析的必要。如下使用NTDSDumpEx来操作：
NTDSDumpEx -d ntds.dit -s system -o domain.txt

DCSync远程Dump

https://tttang.com/archive/1634/
https://www.freebuf.com/articles/network/286137.html

1. DCSync是什么

在域环境中，不同DC之间，每隔15分钟同步一次数据，当DC1想从DC2获取数据时，DC1会向DC2发起GetNCChanges请求，该请求中包含需要同步的数据；如果同步的数据比较多，则会重复上述请求；DCSync就是利用这个原理，通过域同步服务的GetNCChanges接口向目标域控服务器发起域用户Hash的同步请求进而获得完整的域用户Hash列表。
在DCSync出现之前，想要拿到域用户Hash必须登录到DC上进行操作，DCSync提供了在不登陆DC的前提下Dump域用户Hash的可能；Mimikatz可以通过模仿一个DC服务器的方式向目标DC发起DCSync请求，进而获得完整的域用户Hash列表。
在默认情况下，只有 Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户有权限使用 DCSync，但我们可以对域内普通用户添加 ACL (Access Control List) 实现普通用户也能调用 DCSync 功能。

2. 域控上使用DCSync导出

DCSync的机制决定不需要使用 debug 来提权，所以协议禁用debug权限的安全测试并不能抑制通过DCSync来导出域用户Hash。
大杀器mimikatz内置DCSync模块，可以直接运行如下命令：
lsadump::dcsync /domain:zero.com /all /csv
取证视角

使用DCSync导出时会在Security日志中产生2条4662（访问目录服务的日志），该日志记录下执行DCSync的用户获取相关权限的情况，结合AcessMask字段和Username字段可以作为排查这种攻击的一种方式：
所需的权限列表：

'DS-Replication-Get-Changes' = 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 
'DS-Replication-Get-Changes-All' = 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 
'DS-Replication-Get-Changes-In-Filtered-Set' = 89e95b76-444d-4c62-991a-0facbeda640c

由于4662日志并不记录DCSync的源IP，如果想获得源IP可以安装DCSyncMonitorService服务把DCSync的源IP日志打到系统Application日志中，详情见：https://github.com/shellster/DCSyncMonitor

3. scecretdump远程DCSync

Impacket脚本集的 scecretdump.py 脚本支持在已知域管账号密码的前提下远程dump DC服务器的域用户Hash，Dump的命令如下：
# python3 secretsdump.py domain/:password@ -just-dc
取证视角

从DC上的安全日志可以看出，产生大量4662日志的请求，用于DCSync的执行用户获取对应的权限：
由于是远程执行，在流量测也有一些固定的分析模型：
从客户端到DC服务器依次使用SMB（445端口）、DCRPC（135端口）、DRSUAPI（49666端口）协议建立通讯连接，其中DRSUAPI协议中DsBind、DsGetDomainControllerInfo、DsCrackName、DsGetNCChanges表示在进行DCSync通讯，在流量分析或者下发策略的时候可以重点针对这些请求开展。

4. runas配合mimiakatz远程DCSync

在域内的主机上使用Runas命令打开一个域管理员权限的shell，或者直接使用域管账户登录目标机器；
runas /noprofile /user:zero.com\administrator cmd
然后在域内执行mimikatz的 dcsync命令远程获取域用户Hash
lsadump::dcsync /domain:zero.com /all /csv
取证视角

远程DCSync导出域用户hash的终端日志和本地DCSync的日志是一样，因为通过网络执行，不妨分析一下通讯数据包的特征；
首先是runas的流量，和DC服务器的88端口通讯，通过远程认证建立本地管理员会话。
其次是SMB 流量，建立IPC链接，创建请求文件lsarpc
最后是DCSync的相关流量，主要和DC的6008端口通讯，Set-ConfigureRequestEvent等操作。

4. DCSync免杀dump域用户hash

mimikatz由于众所周知的原因是各大AV、EDR的重点关注对象，所以免杀的思路是单独实现一个DCSync的客户端，伪造成DC服务器向真实的DC服务器发起域同步的请求从而拿到域用户hash
Github已有开源的实现，来自3gstudent大佬的SharpDCSync https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpDCSync.cs
在DC上直接导出当前域名的Hash
SharpDCSync.exe dc.zero.com zero.com
远程导出需要使用域管用户先建立通道

//  在本地建立域管权限的shell （88端口）
runas /noprofile /user:zero.com\administrator cmd
//  远程导出域用户Hash（389端口+6008端口）
SharpDCSync.exe dc.zero.com zero.com

在这里提一嘴：DCSync 攻击的原理是模拟域控制器与域控制器之间的数据同步复制。最好的防御方法是给控制器设置白名单，将可信任的资产设置在允许同步的白名单内。

结尾

AD攻防自成体系，Dump域用户Hash只是冰山一角，通过深入剖析各种Dump手法和原理，加深对AD安全的理解及系统日志的熟悉，更好的在安全运营监控/应急响应中快速定位攻击行为，欢迎师傅们拍砖交流～