NTDS.dit hash提取工具--20150622更新版
2015-07-06 08:51
232 查看
NTDS.dit hash提取工具
为保证不修改quarkspwdump版权信息,没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。
NTDS.dit是个什么鬼呢?
在域内,HASH是存在NTDS.DIT中的, NTDS.DIT是一个二进制文件,就等同于本地计算机的SAM文件,它的存放位置是%SystemRoot%\ntds\NTDS.DIT。这里面包含的不只是Username和HASH,还有OU、Group等等。
和SAM文件一样,这个文件肯定也是被系统锁定的,Windows Server
NTDS.dit怎么样来的呢?
这个网上文章介绍的很详细 自己动手丰衣足食
0.为什么不用NTDSXTract呢?
答:提取速度太慢 实在不敢恭维
1.为什么不用quarkspwdump呢?
答:quarkspwdump不支持system.hiv离线 只能把quarkspwdump上传到服务器之后在服务器使用,不喜欢在服务器操作,还有一个问题是内存太小还会出现not enough memory
2.quarkspwdump有人改了支持system.hiv 为何不用呢?
答:很多时候导出system.hiv之后,system.hiv文件相当大,下载非常不方便,其实system.hiv就是key 可以用RegQueryInfoKey查询出来。 ,
3.有人改了quarkspwdump支持既支持system.hiv又支持的key的啊
作者博客:http://z-cg.com/post/ntds_dit_pwd_dumper.html
答:但是程序是32位的,读取万条hash会显示not enough memory!
那么到底解决了什么问题呢?
0.添加支持获取system.hiv的key值功能(需要去服务器运行获取)
1.添加了支持离线system.hiv文件
2.添加了支持离线system.hiv的key值
3.解决了not enough memory的问题
使用方法:
常用的参数:
-k:获取system.hive的key
-o:输出文件(保存文件到本地)
-sf:指定system.hive文件路径
-sk:指定system.hive文件key值
-hist:历史记录
system.hive文件获取:reg save hklm\system system.hive
0.QuarksPwDump.exe -k (需要注意uac的问题 在服务器运行)
1.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sf system.hive -o hash.txt
2.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598AAxxxxxxxx -o hash.txt
3.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598Axxxxxxxxx -hist -o hash-hist.txt
带历史记录的 4w多啊
下载地址:
点击我下载 密码:CHI6
顺便吐槽下 南方真蛋疼 每逢过节就下雨 。
http://vdisk.weibo.com/lc/2ySNULtxqMswoUKZAuF
为保证不修改quarkspwdump版权信息,没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。
NTDS.dit是个什么鬼呢?
在域内,HASH是存在NTDS.DIT中的, NTDS.DIT是一个二进制文件,就等同于本地计算机的SAM文件,它的存放位置是%SystemRoot%\ntds\NTDS.DIT。这里面包含的不只是Username和HASH,还有OU、Group等等。
和SAM文件一样,这个文件肯定也是被系统锁定的,Windows Server
NTDS.dit怎么样来的呢?
这个网上文章介绍的很详细 自己动手丰衣足食
0.为什么不用NTDSXTract呢?
答:提取速度太慢 实在不敢恭维
1.为什么不用quarkspwdump呢?
答:quarkspwdump不支持system.hiv离线 只能把quarkspwdump上传到服务器之后在服务器使用,不喜欢在服务器操作,还有一个问题是内存太小还会出现not enough memory
2.quarkspwdump有人改了支持system.hiv 为何不用呢?
答:很多时候导出system.hiv之后,system.hiv文件相当大,下载非常不方便,其实system.hiv就是key 可以用RegQueryInfoKey查询出来。 ,
3.有人改了quarkspwdump支持既支持system.hiv又支持的key的啊
作者博客:http://z-cg.com/post/ntds_dit_pwd_dumper.html
答:但是程序是32位的,读取万条hash会显示not enough memory!
那么到底解决了什么问题呢?
0.添加支持获取system.hiv的key值功能(需要去服务器运行获取)
1.添加了支持离线system.hiv文件
2.添加了支持离线system.hiv的key值
3.解决了not enough memory的问题
使用方法:
常用的参数:
-k:获取system.hive的key
-o:输出文件(保存文件到本地)
-sf:指定system.hive文件路径
-sk:指定system.hive文件key值
-hist:历史记录
system.hive文件获取:reg save hklm\system system.hive
0.QuarksPwDump.exe -k (需要注意uac的问题 在服务器运行)
1.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sf system.hive -o hash.txt
2.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598AAxxxxxxxx -o hash.txt
3.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598Axxxxxxxxx -hist -o hash-hist.txt
带历史记录的 4w多啊
下载地址:
点击我下载 密码:CHI6
顺便吐槽下 南方真蛋疼 每逢过节就下雨 。
http://vdisk.weibo.com/lc/2ySNULtxqMswoUKZAuF
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ios警告框中加入其它控件的方法
- oracle临时表
- 编译安装 gcc
- [转载] Tmux 速成教程:技巧和调整
- 导出当前域内所有用户hash的技术整理 --- Wooyun 三好学生
- iOS开发笔记—— 获取音频的专辑图与视频的缩略图
- html5 canvas 实现一个简单的叮当猫头部
- JDK源码分析之concurrent包(二) -- 线程池ThreadPoolExecutor
- java的向上转型
- php中 $$str 中 "$$" 的详解
- 密码学基础知识(四)分组密码
- 日经春秋 20150706
- 如何配置ofxFaceTracker的AdvancedExample例子【更新】
- 学习老外用webstorm开发nodejs的技巧--代码提示DefinitelyTyped
- GCJ 2015R2(Bilingual-最小割)
- D3js-堆栈图
- D3js-堆栈图
- SCVMM 2012 R2运维管理七之:用户角色的介绍
- SCVMM 2012 R2运维管理七之:用户角色的介绍
- Java实训第三天