RedSnarf是一款由Ed William 和 Richard Davy開發的,專門用於滲透測試及紅隊的安全工具。RedSnarf通過OpSec科技,從Windows工作站,服務器和網域控制站中檢索散列和憑據。
RedSnarf的主要任務包括以下兩項:
- 不在入侵/滲透的主機上留下任何證據–包括檔案,行程和服務;
- 不對主機造成不適當的損害,即強制主機重啓
YouTube演示:https://youtu.be/oLmpOol8NV8
為什麼要使用RedSnarf?
其實除了RedSnarf,還有許多優秀的後滲透利用工具;例如smbexec和Metasploit就擁有强大的後滲透利用模塊。那麼既然如此,我們為什麼還要選擇使用RedSnarf呢?
下麵,讓我來列舉幾點RedSnarf的不同之處:
- 使用起來更加簡便
- 佔用更小的空間記憶體(工具程式碼量小於500行)
- 减少服務器上的操作頻率
- 模組化
- 執行緒化
RedSnarf功能包括:
- 檢索本地SAM散列
- 枚舉當前以系統許可權運行的用戶及其相應的lsa密碼;
- 檢索MS緩存憑證;
- Pass-the-hash;
- 快速識別弱口令和可猜測用戶名組合(默認為admin/Password01);
- 跨區域檢索雜湊
- Credsfile將接收由空格分隔的pwdump,fgdump和純文字用戶名和密碼的混合;
- Lsass轉儲以用於Mimikatz的離線分析;
- 使用NTDSUtil轉儲網域控制站散列,並檢索NTDS.dit進行本地解析;
- 使用drsuapi方法轉儲網域控制站散列;
- 從網域控制站檢索腳本和策略資料夾,解析’密碼’和’管理員’;
- 能够解密cpassword雜湊;
- 能够在遠程機器上啟動shell;
- 清除事件日誌(應用程序,安全性,設定或系統)的能力;(僅限內部版本)
- 結果將被保存在每個主機基礎上用於分析。
- 在遠程機器上啟用/禁用RDP。
- 將RDP埠從3389更改為遠程電腦上的443。
- 在遠程機器上啟用/禁用NLA。
- 查找用戶在遠程電腦上登入的位置。
- Windows登錄介面後門
- 在遠程機器上啟用/禁用UAC。
- mimikatz添加隱藏。
- 解析域雜湊
- 能够確定哪些帳戶被啟用/禁用
- 抓取遠端存取的活動用戶案頭螢幕截圖
- 記錄遠端存取活動用戶案頭
- 解密Windows密碼
- 解密WinSCP密碼
- 獲取用戶的SPN
- 從遠程機器檢索WIFI密碼
開發與依賴
RedSnarf是在以下環境開發的:
- Kali Linux
- python 2.7.9
- termcolor(1.1.0)
依賴:
- Impacket v0.9.16-dev– https://github.com/CoreSecurity/impacket.git
- CredDump7– https://github.com/Neohapsis/creddump7
- 使用procdump檢索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
- Netaddr(0.7.12)–pip install netaddr
- Termcolor(1.1.0)–pip install termcolor
- iconv–用於在本地解析Mimikatz資訊
顯示幫助資訊:
./redsnarf.py -h
./redsnarf.py --help
相關演示文檔:https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/november/introducing-redsnarf-and-the-importance-of-being-careful/
Github下載:https://github.com/nccgroup/redsnarf
*參攷來源:n0where,FB小編secist編譯,轉載請注明來自FreeBuf(FreeBuf.COM)