如何抓取所有域用户的hashwin2008

ethashes/2011/11/safely-dumping-hashes-from-liv/en-us/library/cc754968%28v=ws.10%29.aspx 第二种也可以通杀2003到2012，但是2003里面比较麻烦，需要在图形界面中手动备份数据库才行，2008 和 2012则可以在命令行下搞定。另外用vssown.vbs复制出来的ntds.dit数据库不能用QuarksPwDump抓取。 补充：cmd shell下的抓取方式 前面讲了两种抓取所有域用户hash的方法，但是都是在交互的图形化界面中进行的。实际的渗透中，最好不要用mstsc登录域控制器， 很可能上面装有监控远程桌面登录信息的各种工具。更实际的情况应该是我们从一台成员服务器上通过远程的cmd shell抓取域用户信息。 我一般用psexec开启一个远程cmdshell，如果没有域管理员密码明文，就用wce进行hash注入，再用psexec就可以了。 第一种方法主要是vssown.vbs的操作，没有任何交互式的命令需要执行，所以没有什么特别的,在psexec下面直接操作即可 第二种方法中ntdsutil.exe的命令是交互式的，需要一步步输入，而psexec开启的shell是没办法这么做的，会直接卡死在那。 于是我尝试了下把命令写在一起，就像用netsh配置网络信息时一样，发现是可以用的，只不过有空格的地方用引号就行了。 所以ntdsutil的命令就可以写成 ntdsutil snapshot "activate instance ntds" create quit quit ntdsutil snapshot "mount {GUID}" quit quit copy MOUNT_POINTwindowsNTDS tds.dit c: tds.dit ntdsutil snapshot "unmount {GUID}" quit quit ntdsutil snapshot "delete {GUID}" quit quit 接下来就是导出hash，执行： QuarksPwDump.exe --dump-hash-domain --ntds-file c: tds.dit 具体的过程如下： 总结： 测试了这么多，最大的收获应该是mimikatz还能抓到lm hash。其实还是有很多工具可以抓到hash的，期待wce的更新，他的hash注入功能还是很实用的。 另外我发现有时候psexec在退出后，远程服务器的psexec的服务并没有被删除，这点相当危险，而且psexec会安装服务，很容易被管理员发现。 理论上psexec可以用wmi远程执行命令代替