阿摩線上測驗
複選題
36. 情境如附圖所示,網域控制站(DC)是滲透測試重要的目標,而 ntds.dit 是 AD 主要的資料,可以透過下列哪些方式進行提取?
(A) Ntdsutil.exe 提取 ntds.dit
(B) 使用 vssadmin 提取 ntds.dit
(C) 利用 diskshadow 匯出 ntds.dit
(D) 利用 certutil.exe 提取 ntds.dit
答案:登入後查看
統計: A(431), B(426), C(367), D(189), E(0) #3223906
統計: A(431), B(426), C(367), D(189), E(0) #3223906
詳解 (共 2 筆)
hiiii
#6275050
在滲透測試與惡意攻擊的實務中,最常見用於「取得/複製」DC 上的 ntds.dit 檔案的方法,主要有下列幾種:
-
Ntdsutil.exe
- 透過 ntdsutil,可建立安裝媒體 (Install from Media, IFM) 或進行 Snapshot,再將 ntds.dit 檔案從產生的目錄中複製出來。
- 這是微軟提供的內建工具,通常用於維護、備份、還原 AD 資料庫。
-
vssadmin
- 以系統權限執行 vssadmin 建立磁碟區陰影複本 (Volume Shadow Copy),再從對應的 Shadow Copy 路徑取得 ntds.dit。
- 攻擊者常見做法是:
vssadmin create shadow /for=C: dir \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\Windows\NTDS copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\Windows\NTDS\ntds.dit .(X 為陰影複本編號)
-
diskshadow
- 與 vssadmin 類似,同樣是用於操作 Volume Shadow Copy 的工具。
- 可透過 diskshadow 腳本指令建立 Shadow Copy,再掛載或匯出目錄,從而複製出 ntds.dit 檔案。
至於 certutil.exe
- 它主要用於管理憑證 (CA) 的工作,雖然常被攻擊者拿來「encode / decode / 下載 / 上傳」檔案(做為簡易的 C2 或資料外洩手段),但不具備直接「建立快照」或「產生備份」來取得 ntds.dit 的功能。
- 通常若已藉由其他方式在本機系統上取得了 ntds.dit,才可能使用 certutil 做後續的編碼、加解密、上傳等動作。
因此,就「直接提取(取得檔案本身)」而言,(A) ntdsutil、(B) vssadmin、(C) diskshadow 才是常見且可行的三種方式,(D) certutil 則非直接用於提取 ntds.dit。
答案: (A)、(B)、(C)
0
0
