RedSnarf是一款由Ed William 和 Richard Davy开发的,专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术,从Windows工作站,服务器和域控制器中检索散列和凭据。
  RedSnarf的主要任务包括以下两项:
  不在入侵/渗透的主机上留下任何证据 – 包括文件,进程和服务;
  不对主机造成不适当的损害,即强制主机重启
  YouTube演示:https://youtu.be/oLmpOol8NV8
  为什么要使用RedSnarf?
  其实除了RedSnarf,还有许多的后渗透利用工具;例如smbexec和Metasploit拥有强大的后渗透利用模块。那么既然如此,我们为什么还要选择使用RedSnarf呢?
  下面,让我来列举几点RedSnarf的不同之处:
  使用起来更加简便
  占用更小的空间内存(工具代码量小于500行)
  减少服务器上的操作频率
  模块化
  线程化
  RedSnarf功能包括:
  检索本地SAM散列
  枚举当前以系统权限运行的用户及其相应的lsa密码;
  检索MS缓存凭证;
  Pass-the-hash;
  快速识别弱口令和可猜测用户名组合(默认为admin/Password01);
  跨区域检索哈希
  Credsfile将接收由空格分隔的pwdump,fgdump和纯文本用户名和密码的混合;
  Lsass转储以用于Mimikatz的离线分析;
  使用NTDSUtil转储域控制器散列,并检索NTDS.dit进行本地解析;
  使用drsuapi方法转储域控制器散列;
  从域控制器检索脚本和策略文件夹,解析’密码’和’管理员’;
  能够解密cpassword哈希;
  能够在远程机器上启动shell;
  清除事件日志(应用程序,安全性,设置或系统)的能力;(内部版本)
  结果将被保存在每个主机基础上用于分析。
  在远程机器上启用/禁用RDP。
  将RDP端口从3389更改为远程计算机上的443。
  在远程机器上启用/禁用NLA。
  查找用户在远程计算机上登录的位置。
  Windows登录界面后门
  在远程机器上启用/禁用UAC。
  mimikatz添加隐藏。
  解析域哈希
  能够确定哪些帐户被启用/禁用
  抓取远程登录的活动用户桌面屏幕截图
  记录远程登录活动用户桌面
  解密Windows密码
  解密WinSCP密码
  获取用户的SPN
  从远程机器检索WIFI密码

  开发与依赖
  RedSnarf是在以下环境开发的:
  Kali Linux
  python 2.7.9
  termcolor (1.1.0)
  依赖:
Impacket v0.9.16-dev – https://github.com/CoreSecurity/impacket.git
CredDump7 – https://github.com/Neohapsis/creddump7
使用procdump检索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
Netaddr (0.7.12) – pip install netaddr
Termcolor (1.1.0) – pip install termcolor
iconv – 用于在本地解析Mimikatz信息
  显示帮助信息:
  ./redsnarf.py -h
  ./redsnarf.py --help