有朋友需要更新NTDSDump,就改了一个。
此版本基于ntds_decode修改而来,修复了原版无法处理大文件的BUG,加入了读取system.hiv以及导出历史hash的功能。
(2017-2-23 19:17,修复了单个用户历史密码超出14条导致崩溃的BUG)
工具命令行如下:
ntdsdumpex.exe <-d ntds.dit> <-k HEX-SYS-KEY | -s system.hiv |-r> [-o out.txt] [-h] [-m] [-p] [-u] -d ntds.dit路径 -k 可选的十六进制格式的SYSKEY -s 可选的system.hiv路径 -r 可选的从系统注册表读取SYSKEY -o 导出到指定文件中 -h 导出历史密码记录 -p 导出用户的备注和主目录路径 -m 导出机器账户(以$结尾、与域内主机同名)的hash -u 导出大写字母格式的哈希
例如:
#显示当前系统的SYSKEY(用于保存以备后续破解) ntdsdumpex.exe -r #使用system.hiv中保存的SYSKEY,将ntds.dit中的hash、历史hash、用户信息保存至hash.txt ntdsdumpex.exe -d ntds.dit -o hash.txt -s system.hiv -h -p -m
本地测试一个3.5G左右的数据库文件,导出全部hash仅需80秒,可以说是速度最快的工具了。
下载地址: NTDSDumpEx.zip
解压密码见注释(github的release是没有密码的,去git吧~)。
源码:https://github.com/zcgonvh/NTDSDumpEx
(遵守GPL开源协议,喜欢改版权的那位,祝你技术进步~)