Windows滲透測試工具：RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy開發的，專門用於滲透測試及紅隊的安全工具。RedSnarf通過OpSec技術，從Windows工作站，服務器和域控制器中檢索散列和憑據。

RedSnarf的主要任務包括以下兩項：

不在入侵/滲透的主機上留下任何證據 – 包括文件，進程和服務;

不對主機造成不適當的損害，即強制主機重啟

YouTube演示：https://youtu.be/oLmpOol8NV8

為什麼要使用RedSnarf?

其實除了RedSnarf，還有許多優秀的後滲透利用工具;例如smbexec和Metasploit就擁有強大的後滲透利用模塊。那麼既然如此，我們為什麼還要選擇使用RedSnarf呢?

下面，讓我來列舉幾點RedSnarf的不同之處：

使用起來更加簡便

占用更小的空間內存(工具代碼量小於500行)

減少服務器上的操作頻率

模塊化

線程化

RedSnarf功能包括：

檢索本地SAM散列

枚舉當前以系統權限運行的用戶及其相應的lsa密碼;

檢索MS緩存憑證;

Pass-the-hash;

快速識別弱口令和可猜測用戶名組合(默認為admin/Password01);

跨區域檢索哈希

Credsfile將接收由空格分隔的pwdump，fgdump和純文本用戶名和密碼的混合;

Lsass轉儲以用於Mimikatz的離線分析;

使用NTDSUtil轉儲域控制器散列，並檢索NTDS.dit進行本地解析;

使用drsuapi方法轉儲域控制器散列;

從域控制器檢索腳本和策略文件夾，解析’密碼’和’管理員’;

能夠解密cpassword哈希;

能夠在遠程機器上啟動shell;

清除事件日志(應用程序，安全性，設置或系統)的能力;(僅限內部版本)

結果將被保存在每個主機基礎上用於分析。

在遠程機器上啟用/禁用RDP。

將RDP端口從3389更改為遠程計算機上的443。

在遠程機器上啟用/禁用NLA。

查找用戶在遠程計算機上登錄的位置。

Windows登錄界面後門

在遠程機器上啟用/禁用UAC。

mimikatz添加隱藏。

解析域哈希

能夠確定哪些帳戶被啟用/禁用

抓取遠程登錄的活動用戶桌面屏幕截圖

記錄遠程登錄活動用戶桌面

解密Windows密碼

解密WinSCP密碼

獲取用戶的SPN

從遠程機器檢索WIFI密碼

開發與依賴

RedSnarf是在以下環境開發的：

Kali linux

Python 2.7.9

termcolor (1.1.0)

依賴：

Impacket v0.9.16-dev – https://github.com/CoreSecurity/impacket.git

CredDump7 – https://github.com/Neohapsis/creddump7

使用procdump檢索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx

Netaddr (0.7.12) – pip install netaddr

Termcolor (1.1.0) – pip install termcolor

iconv – 用於在本地解析Mimikatz信息

顯示幫助信息：

Github下載：https://github.com/nccgroup/redsnarf

聲明:本站部分文章轉載自網路，其言論僅代表作者觀點，不代表本站立場，如需轉載請保留出處和鏈接！