Windows渗透测试工具：RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy开发的，专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术，从Windows工作站，服务器和域控制器中检索散列和凭据。

RedSnarf的主要任务包括以下两项：

• 不在入侵/渗透的主机上留下任何证据 - 包括文件，进程和服务；
• 不对主机造成不适当的损害，即强制主机重启

YouTube演示：https://youtu.be/oLmpOol8NV8

为什么要使用RedSnarf？

其实除了RedSnarf，还有许多优秀的后渗透利用工具；例如smbexec和Metasploit就拥有强大的后渗透利用模块。那么既然如此，我们为什么还要选择使用RedSnarf呢？

下面，让我来列举几点RedSnarf的不同之处

• 使用起来更加简便
• 占用更小的空间内存（工具代码量小于500行）
• 减少服务器上的操作频率
• 模块化
• 线程化

RedSnarf功能包括：

• 检索本地SAM散列
• 枚举当前以系统权限运行的用户及其相应的lsa密码；
• 检索MS缓存凭证；
• Pass-the-hash；
• 快速识别弱口令和可猜测用户名组合（默认为admin/Password01）;
• 跨区域检索哈希
• Credsfile将接收由空格分隔的pwdump，fgdump和纯文本用户名和密码的混合；
• Lsass转储以用于Mimikatz的离线分析；
• 使用NTDSUtil转储域控制器散列，并检索NTDS.dit进行本地解析；
• 使用drsuapi方法转储域控制器散列；
• 从域控制器检索脚本和策略文件夹，解析'密码'和'管理员'；
• 能够解密cpassword哈希；
• 能够在远程机器上启动shell；
• 清除事件日志（应用程序，安全性，设置或系统）的能力；（仅限内部版本）
• 结果将被保存在每个主机基础上用于分析。
• 在远程机器上启用/禁用RDP。
• 将RDP端口从3389更改为远程计算机上的443。
• 在远程机器上启用/禁用NLA。
• 查找用户在远程计算机上登录的位置。
• Windows登录界面后门
• 在远程机器上启用/禁用UAC。
• mimikatz添加隐藏。
• 解析域哈希
• 能够确定哪些帐户被启用/禁用
• 抓取远程登录的活动用户桌面屏幕截图
• 记录远程登录活动用户桌面
• 解密Windows密码
• 解密WinSCP密码
• 获取用户的SPN
• 从远程机器检索WIFI密码

开发与依赖

RedSnarf是在以下环境开发的：

• Kali Linux
• python 2.7.9
• termcolor (1.1.0)

依赖：

• Impacket v0.9.16-dev – https://github.com/CoreSecurity/impacket.git
• CredDump7 – https://github.com/Neohapsis/creddump7
• 使用procdump检索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
• Netaddr (0.7.12) – pip install netaddr
• Termcolor (1.1.0) – pip install termcolor
• iconv - 用于在本地解析Mimikatz信息

显示帮助信息：

./redsnarf.py -h
./redsnarf.py --help

相关演示文档：

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/november/introducing-redsnarf-and-the-importance-of-being-careful/

Github下载：https://github.com/nccgroup/redsnarf