NTDSDumpEx

有朋友需要更新NTDSDump,就改了一个。
此版本基于ntds_decode修改而来,修复了原版无法处理大文件的BUG,加入了读取system.hiv以及导出历史hash的功能。


(2017-2-23 19:17,修复了单个用户历史密码超出14条导致崩溃的BUG)

工具命令行如下:

ntdsdumpex.exe <-d ntds.dit> <-k HEX-SYS-KEY | -s system.hiv |-r> [-o out.txt] [-h] [-m] [-p] [-u]
-d    ntds.dit路径
-k    可选的十六进制格式的SYSKEY
-s    可选的system.hiv路径
-r    可选的从系统注册表读取SYSKEY
-o    导出到指定文件中
-h    导出历史密码记录
-p    导出用户的备注和主目录路径
-m   导出机器账户(以$结尾、与域内主机同名)的hash
-u    导出大写字母格式的哈希


例如:


#显示当前系统的SYSKEY(用于保存以备后续破解)
ntdsdumpex.exe -r


#使用system.hiv中保存的SYSKEY,将ntds.dit中的hash、历史hash、用户信息保存至hash.txt
ntdsdumpex.exe -d ntds.dit -o hash.txt -s system.hiv -h -p -m


本地测试一个3.5G左右的数据库文件,导出全部hash仅需80秒,可以说是速度最快的工具了。

201702231487783160397294.png


下载地址:

NTDSDumpEx.zip

解压密码见注释(github的release是没有密码的,去git吧~)。

源码:https://github.com/zcgonvh/NTDSDumpEx

转自:http://www.zcgonvh.com/post/NTDSDumpEx.html



评论回复