Nishang es un framework de PowerShell diseñado por Samratashok para automatizar ciertas acciones que solemos realizar durante nuestras labores de pentesting.
El script Copy-VSS, permite automatizar la extracción de los archivos SAM, SYSTEM y NTDS.DIT, y es una de las opciones más cómodas y rápidas de las que disponemos para esta tarea. Podéis descargarlo desde el siguiente enlace:
Su funcionamiento es muy básico. Solo tendremos que importar el módulo y ejecutarlo. Además, mediante el parámetro "-DestinationDir" podremos dejar los 3 archivos en la ruta que le indiquemos. Por lo que si en un ataque conseguimos una shell, podremos dejar los archivos en alguna carpeta para poder recuperarlos de forma sencilla:
El resultado:
Veréis que en la PoC anterior no figura el archivo NTDS.DIT, lo que es debido a que la máquina de pruebas que he utilizado no estaba en dominio.
De igual manera, si tuviésemos una sesión de meterpreter abierta, podríamos cargar powershell, e importar el módulo y lanzar el script exactamente de la misma manera. Por lo que disponéis de distintas vías para su uso durante una intrusión.
Sobre cómo crackear la SAM y NTDS.DIT ya os hemos hablado en Flu Project en varias ocasiones, pero posteriormente dedicaremos nuevos artículos con técnicas diferentes de ataque :)
Saludos!