RedSnarf是一款由Ed William 和 Richard Davy開發的,專門用于滲透測試及紅隊的安全工具。RedSnarf通過OpSec技術,從Windows工作站,服務器和域控制器中檢索散列和憑據。
RedSnarf的主要任務包括以下兩項:
不在入侵/滲透的主機上留下任何證據 – 包括文件,進程和服務;
不對主機造成不適當的損害,即強制主機重啟
YouTube演示:https://youtu.be/oLmpOol8NV8
為什么要使用RedSnarf?
其實除了RedSnarf,還有許多優秀的后滲透利用工具;例如smbexec和Metasploit就擁有強大的后滲透利用模塊。那么既然如此,我們為什么還要選擇使用RedSnarf呢?
下面,讓我來列舉幾點RedSnarf的不同之處:
使用起來更加簡便
占用更小的空間內存(工具代碼量小于500行)
減少服務器上的操作頻率
模塊化
線程化
RedSnarf功能包括:
檢索本地SAM散列
枚舉當前以系統權限運行的用戶及其相應的lsa密碼;
檢索MS緩存憑證;
Pass-the-hash;
快速識別弱口令和可猜測用戶名組合(默認為admin/Password01);
跨區域檢索哈希
Credsfile將接收由空格分隔的pwdump,fgdump和純文本用戶名和密碼的混合;
Lsass轉儲以用于Mimikatz的離線分析;
使用NTDSUtil轉儲域控制器散列,并檢索NTDS.dit進行本地解析;
使用drsuapi方法轉儲域控制器散列;
從域控制器檢索腳本和策略文件夾,解析’密碼’和’管理員’;
能夠解密cpassword哈希;
能夠在遠程機器上啟動shell;
清除事件日志(應用程序,安全性,設置或系統)的能力;(僅限內部版本)
結果將被保存在每個主機基礎上用于分析。
在遠程機器上啟用/禁用RDP。
將RDP端口從3389更改為遠程計算機上的443。
在遠程機器上啟用/禁用NLA。
查找用戶在遠程計算機上登錄的位置。
Windows登錄界面后門
在遠程機器上啟用/禁用UAC。
mimikatz添加隱藏。
解析域哈希
能夠確定哪些帳戶被啟用/禁用
抓取遠程登錄的活動用戶桌面屏幕截圖
記錄遠程登錄活動用戶桌面
解密Windows密碼
解密WinSCP密碼
獲取用戶的SPN
從遠程機器檢索WIFI密碼
開發與依賴
RedSnarf是在以下環境開發的:
Kali Linux
python 2.7.9
termcolor (1.1.0)
依賴:
Impacket v0.9.16-dev – https://github.com/CoreSecurity/impacket.git
CredDump7 – https://github.com/Neohapsis/creddump7
使用procdump檢索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
Netaddr (0.7.12) – pip install netaddr
Termcolor (1.1.0) – pip install termcolor
iconv – 用于在本地解析Mimikatz信息
顯示幫助信息:
./redsnarf.py -h
./redsnarf.py --help
相關演示文檔:https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/november/introducing-redsnarf-and-the-importance-of-being-careful/
Github下載:https://github.com/nccgroup/redsnarf
| 
