NTDS.dit hash提取工具
为保证不修改quarkspwdump版权信息,没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。
NTDS.dit是个什么鬼呢?
在域内,HASH是存在NTDS.DIT中的, NTDS.DIT是一个二进制文件,就等同于本地计算机的SAM文件,它的存放位置是%SystemRoot%\ntds\NTDS.DIT。这里面包含的不只是Username和HASH,还有OU、Group等等。
和SAM文件一样,这个文件肯定也是被系统锁定的,Windows Server
NTDS.dit怎么样来的呢?
这个网上文章介绍的很详细 自己动手丰衣足食
0.为什么不用NTDSXTract呢?
答:提取速度太慢 实在不敢恭维
1.为什么不用quarkspwdump呢?
答:quarkspwdump不支持system.hiv离线 只能把quarkspwdump上传到服务器之后在服务器使用,不喜欢在服务器操作,还有一个问题是内存太小还会出现not enough memory
2.quarkspwdump有人改了支持system.hiv 为何不用呢?
答:很多时候导出system.hiv之后,system.hiv文件相当大,下载非常不方便,其实system.hiv就是key 可以用RegQueryInfoKey查询出来。 ,
3.有人改了quarkspwdump支持既支持system.hiv又支持的key的啊
作者博客:http://z-cg.com/post/ntds_dit_pwd_dumper.html
答:但是程序是32位的,读取万条hash会显示not enough memory!
那么到底解决了什么问题呢?
0.添加支持获取system.hiv的key值功能(需要去服务器运行获取)
1.添加了支持离线system.hiv文件
2.添加了支持离线system.hiv的key值
3.解决了not enough memory的问题
使用方法:
常用的参数:
-k:获取system.hive的key
-o:输出文件(保存文件到本地)
-sf:指定system.hive文件路径
-sk:指定system.hive文件key值
-hist:历史记录
system.hive文件获取:reg save hklm\system system.hive
0.QuarksPwDump.exe -k (需要注意uac的问题 在服务器运行)
1.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sf system.hive -o hash.txt
2.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598AAxxxxxxxx -o hash.txt
3.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598Axxxxxxxxx -hist -o hash.txt
带历史记录的
下载地址:
点我下载 密码:CHI6
顺便吐槽下 南方真蛋疼 每逢过节就下雨 。