Les différentes techniques de dump NTDS

Cet article présentera différentes méthode permettant de dumper la base NTDS.dit.

I/ Disckshadow

Cette technique est probablement la moins gracieuse puisque l'on va se servir du binaire lolbin diskshadow.exe afin de réaliser une copie conforme de la partition C: via le gestionaire de cliché instantané proposé par Windows. Pour cela il faudra tout d'abord créer un fichier contenant les commandes que diskshadow devra exécuter:

set context persistent nowriters
add volume c: alias temp
create
expose %temp% h:
exit

Ensuite on appellera le binaire de cette manière:

diskshadow /s commandes.txt

Il ne restera plus qu'à downloader le fichier:

h:\Windows\System32\NTDS.dit

Ainsi que la clé de registre SYSTEM pour pouvoir déchiffrer la base NTDS en remote.

II/ NTDSutils.exe

La seconde méthode repose elle aussi sur un lolbin: ntdsutils.exe. La commande suivante:

ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q

Nous permettra d'exporter à la fois la base NTDS, la clé de registre SYSTEM et la clé de registre SECURITY et donc nous permettra de déchiffrer la base en offline.

III/ DRSUAPI

Dernière méthode, et de loin la plus sexy, l'utilisation de la DRSUAPI (Directory Replication Service). DRSUAPI est une procédure mise à disposition via le protocole RPC qui permet tout simplement de répliquer un active directory sur d'autres DC. Pour dumper la base NTDS.dit via la DRSUAPI on pourra utiliser CrackMapExec:

cme smb TARGET_IP -u username -p password --ntds