文章总结： 本文详细介绍了DCSync域渗透技术，该技术允许攻击者在拥有域控制器管理权限时，通过模拟域控制器同步数据来远程导出域内所有用户的密码散列值。文章阐述了DCSync相比传统ntds.dit提取方法的优势，并演示了使用mimikatz工具实施攻击的具体命令。最后提出了通过建立真实域控制器IP白名单进行防范的建议。 综合评分： 75 文章分类： 内网渗透,红队,漏洞分析,安全工具,实战经验

看懂 DCSync：域渗透中最经典的 Hash 导出技术

原创

徐哥 徐哥

Ms08067安全实验室

2026年4月30日 12:01 江苏

在小说阅读器读本章

去阅读

本文选自《内网安全攻防：红队之路》

扫描二维码75折购书

攻击者拿下域控制器域的管理员权限以后，会进一步获取域中所有用户（特别是域管理员）的用户名和密码，为下一步跨域攻击和权限维持打下基础。至于如何获取所有用户的信息，有两种攻击技术：第一种比较传统，通过登录域控制器后逐步提取ntds.dit文件，导出域中所有用户的用户名和密码散列值。第二种更加安全便利，在拥有能够登录域控制器管理权限（一般是域管理员、域控制器用户组成员用户）的前提下，在域内任何一台计算机上使用DCSync工具来请求所有用户的用户名和密码散列值。

ntds.dit也被称为活动目录数据库，其默认位置是域控制器的C:\Windows\NTDS\ntds.dit，其中存储有所有域用户的用户名、密码散列值等信息。当然，它也和SAM数据库文件一样是被系统默认锁定的，用户一般无法直接访问，需要通过其它工具或服务进行提取，比如常见的就是通过卷影复制服务提取ntds.dit。

而第二种攻击技术（即：DCSync攻击技术）无需登录域控制器，也不涉所及敏感操作，有效的解决了第一种攻击技术所碰到的问题，因此越来越多的攻击者倾向于通过DCSync来获取域内所有用户的用户名和密码散列值。

在企业Active Directory 域环境中，DCSync 是红队渗透测试里杀伤力极强、隐蔽性极高的核心攻击手法。攻击者只需获取对应权限，无需登录域控，即可模拟域控制器同步数据，一键导出域内所有用户的密码散列（NTLM Hash），为后续横向移动、权限维持、黄金票据 / 白银票据攻击打开突破口。

1. DCSync技术简介

不同的域控制器之间每隔15分钟就会进行一次域数据的同步，如果域控制器DC-1想从域控制器DC-2获取数据时，就会发送一个GetNCChanges请求，DC-2收到请求后会将相关的数据同步给DC-1。利用这个原理，攻击者可以在拥有域控制器管理权限的基础上，远程向域控制器请求所有域用户的用户名和密码散列值，这就是DCSync攻击技术。

DCSync最大的优势就在于：攻击者无需登陆域控制器，只要简单伪装，就可以从真实的域控制器上请求并转储ntds.dit文件。如图所示。

| | |

2. 利用mimikatz的DCSync功能导出密码散列值

mimikatz中已经集成了DCSync功能，我们在任何一台计算机上，只需要以Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户权限运行mimikatz，就可以实施DCSync攻击。

比如，在mimikatz中输入如下命令，可以获取任意指定的某一域用户的密码散列值，如图所示。

lsadump::dcsync /domain:ms08067.com /user:administrator# /domain：后面是域名ms08067.com# /user: 后面是指定的域用户名administrator

| | |

输入如下命令，能够获取到域内的所有域用户的用户名和密码散列值，其输出结果如图所示。

lsadump::dcsync /domain:ms08067.com /all /csv

| | |

3. DCSync攻击技术防范思路

mimikatz、PowerShell Empire等诸多攻击工具均集成了DCSync功能，另外在github上也提供不少类似的开源工具，攻击者们可以灵活根据需要选择合适的工具。而域管理员们要想有效防范，首先需要对DCSync攻击技术有一定的了解，再根据它的攻击原理逆向防范。试想，既然DCSync需要虚拟一个假的域控制器向真实的域控制器发送请求，那么我们可以在域控制器上建立一个真实的域控制器IP地址列表，以后再收到其它域控制器的GetNCChanges请求后就进行IP地址比对，一旦发现是假的域控制器IP地址就立刻报警并阻断，这样就能及时有效的防范DCSync攻击了。

#

—  关于我们  —

镇江刺掌信息科技有限公司成立于2020年，公司旗下MS08067安全实验室，专注于网络安全领域教育、培训、认证产品及服务提供商。近两年，线上培训人数近10万人次，培养网络安全人才近6000名。

公司被认定为国家高新技术企业、国家科技型中小企业、江苏省创新性中小企业、江苏省民营科技企业、江苏省软件企业。并荣获机械工业出版社“年度最佳合作伙伴”、电子工业出版社-博文视点“优秀合作伙伴”、镇江市企业发展服务中心优质合作伙伴、镇江市网络安全应急支撑服务单位等荣誉称号。

![](https://mmbiz.qpic.cn/mmbiz_png/ddqrZtAEBOj4xTcIKUfImvRJW3QEEJCaNqRTwr9WEqXjnoaQ54wf9BbUE3HqNN7PIOxTDRNRb3e6bsJlSZP6Yw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=3)

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=4)

如果喜欢我们

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=5)

欢迎 在看丨留言丨分享至朋友圈 三连

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ms08067安全实验室 徐哥 徐哥《看懂 DCSync：域渗透中最经典的 Hash 导出技术》