攻防实战-使用Quarks PwDump获取域控密码

　　Quarks PwDump是quarkslab出品的一款用户密码提取开源工具，目前软件最新版本为0.2b，其完整源代码可以从获取，目前它支持Windows XP/2003/Vista/7/2008版本，且相当稳定。可以抓取windows平台下多种类型的用户凭据，包括：本地帐户、域帐户、缓存的域帐户和Bitlocker。作者开发这个工具的原因是现在没有一款工具能同时抓取所有类型的hash和Bitlocker信息。

　　Quarks PwDump必须在Dos命令提示符下运行，直接运行QuarksPwDumpv0.2b.exe，如图1所示，默认显示帮助信息，其参数含义如下：

　　使用命令“QuarksPwDumpv0.2b.exe -dhl -o1.txt”将导出本地哈希值到当前目录的1.txt，执行命令会显示导出帐号的数量，如图2所示。显示有3个帐号导出到1.txt，打开1.txt可以看到导出哈希值的具体帐号和值。

　　Ntdsutil.exe是一个为Active Directory提供管理设施的命令行工具。可使用Ntdsutil.exe执行Active Directory的数据库维护，管理和控制单个主机操作，创建应用程序目录分区，以及删除由未使用Active Directory安装向导(DCPromo.exe)成功降级的域控制器留下的元数据。Ntdsutil还可以用来获取域控数据库ntds.dit文件，具体命令如下：

　　说明：获取哈希值最好都在同一台服务器上执行，也即将QuarksPwDump.exe直接放在导出ntds.dit服务器上，执行导出命令。如果仅仅将ntds.dit复制后下载本地可能会出现无法读取错误。网上也曾经出现一个NTDS.dit密码快速提取工具ntdsdump，读者可以自己进行测试。如果是想下载ntds.dit到本地恢复还需要执行“reg save hklm\system system.hive”，将system.hive和ntds.dit全部复制到本地进行域控密码获取。