{"id":1592,"date":"2016-09-09T15:32:00","date_gmt":"2016-09-09T13:32:00","guid":{"rendered":"http:\/\/blog.langlitz-it.de\/?p=1592"},"modified":"2016-09-12T10:05:46","modified_gmt":"2016-09-12T08:05:46","slug":"how-to-passwort-hashes-aus-active-directory-auslesen","status":"publish","type":"post","link":"https:\/\/www.langlitz-it.de\/?p=1592","title":{"rendered":"How to – Passwort Hashes aus Active Directory auslesen"},"content":{"rendered":"

Die Passwort Hashes<\/em>\u00a0der AD<\/em> User<\/em> auszulesen, stellt sich leichter dar als vermutet. Nat\u00fcrlich sind diese Hashes<\/em> nicht in Klartext umzuwandeln, aber diese als Hashes<\/em> wieder in eine neue\/andere Umgebung einzulesen,\u00a0sollte auf diesem Wege m\u00f6glich sein.<\/p>\n

Zun\u00e4chst wird ein Abbild der NTDS.dit<\/em> Datenbank ben\u00f6tigt, in der diese Hashes<\/em> abgelegt sind. Dies l\u00e4sst sich \u00fcber NTDSUtil<\/em> realisieren. Der entsprechende Befehl lautet:<\/p>\n

ntdsutil “ac i ntds” “ifm” “create full c:\\temp” q q\u00a0<\/em><\/p>\n

Anstelle von C:\\Temp<\/em> k\u00f6nnen Sie nat\u00fcrlich jedes beliebige Verzeichnis w\u00e4hlen.<\/p>\n

\"hashes1\"<\/a><\/p>\n

Nach Abschluss dieses Snapshots<\/em> sehen Sie im Temp<\/em> (oder Ihrem eigenen) Verzeichnis zwei Unterverzeichnisse.<\/p>\n

\"hashes2\"<\/a><\/p>\n

Im Verzeichnis Active Directory<\/em> befindet sich der Snapshot<\/em> der NTDS.dit<\/em>. Im Verzeichnis registry<\/em> befindet sich unter anderem der sogenannte Boot Key<\/em>, den Sie zum Entschl\u00fcssen ben\u00f6tigen.\u00a0Die vorhandene Kopie der NTDS.dit<\/em> k\u00f6nnen Sie nun mit Get-ADDBAccount<\/em> aus den DSInternal<\/a> Tools<\/em> auslesen. Auf die Beschreibung der Installation der DSInternal <\/a>Tools<\/em> verzichte ich hier. Diese sollte im angegebenen Link hinreichend beschrieben sein.<\/p>\n

Nach erfolgreicher Einrichtung der DSInternals<\/a><\/em> m\u00fcssen Sie zun\u00e4chst den Boot Key<\/em> auslesen.<\/p>\n

$key<\/span> =<\/span> Get-BootKey<\/span> -SystemHivePath<\/span> ‘C:\\Temp\\registry\\SYSTEM’<\/span><\/em><\/p>\n

Anschlie\u00dfend k\u00f6nnen Sie unter Verwendung dieses Keys<\/em> die Hashes<\/em>\u00a0erhalten und z.B. in einer TXT<\/em> ablegen.<\/p>\n

Get-ADDBAccount -all -DBPath C:\\_Marco\\NTDS\\ntds.dit -BootKey $key |fl Samaccountname,displayname,*hash* |Format-Custom -View HashcatNT |Out-File C:\\_Marco\\NTDS\\hashes.txt -Encoding ASCII<\/em><\/p>\n

Damit werden alle User und deren Passwort Hashes<\/em> in der Datei hashes.txt<\/em>\u00a0gespeichert.<\/p>\n

Sie k\u00f6nnen auch nach einzelnen Usern suchen.<\/p>\n

Get-ADDBAccount -samaccountname name -DBPath C:\\_Marco\\NTDS\\ntds.dit -BootKey $key |fl samaccountname,displayname,*hash* |Format-Custom -View HashcatNT\u00a0<\/em><\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Die Passwort Hashes\u00a0der AD User auszulesen, stellt sich leichter dar als vermutet. Nat\u00fcrlich sind diese Hashes nicht in Klartext umzuwandeln, aber diese als Hashes wieder in eine neue\/andere Umgebung einzulesen,\u00a0sollte auf diesem Wege m\u00f6glich sein. Zun\u00e4chst wird ein Abbild der … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[551,631,639,640,632,633,638,635,637,634,636],"_links":{"self":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1592"}],"collection":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1592"}],"version-history":[{"count":7,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1592\/revisions"}],"predecessor-version":[{"id":1602,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1592\/revisions\/1602"}],"wp:attachment":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1592"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1592"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1592"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}