freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Lil-Pwny:一款基于Python的多功能活动目录密码审计工具
  • 关注
Lil-Pwny:一款基于Python的多功能活动目录密码审计工具
2020-10-27 21:35:50

Lil-Pwny

Lil-Pwny是一款多功能活动目录密码审计工具,该工具基于Python编程语言实现,并且能够帮助广大研究人员通过多种处理方法来对活动目录密码进行安全审计。

Lil-Pwny是一款Python应用程序,能够进行用户密码的NTLM哈希进行离线安全审计和恢复活动目录密码等操作,密码恢复基于的是测试人员之前已经破解的密码(Have I Been Pwned-HIBP)。任意账户的用户名只要跟HIBP列表中的匹配,那么结果就会返回至一个.txt文件中。

额外功能

  • 支持研究人员使用自己的密码字典/列表来检测目标活动目录用户,该功能将允许研究人员针对他们感兴趣的目标组织或目标用户来进行用户密码检测,此时工具将会对比NTLM哈希、活动目录哈希以及HIBP哈希。
  • 返回使用了相同密码的账号列表,该功能可以帮助研究人员寻找出使用了相同密码的用户以识别管理员账号和标准账号。

Lil-Pwny支持在高资源基础设施上运行,以充分利用Python语言的多处理特性。该工具可以在桌面级硬件设备上运行,如果使用的计算核心越多,那么安全审计的速度就越快。

工具安装

广大研究人员可以使用pip来安装Lil-Pwny:

pip install lil-pwny

工具安装

Lil-Pwny能够以全局命令的形式进行安装,使用方法如下:

usage: lil-pwny [-h] -hibp HIBP [-a A] -ad AD_HASHES [-d] [-m] [-o OUTPUT]

 

optional arguments:

  -hibp, --hibp-path    The HIBP .txt file of NTLM hashes

  -a, --a               .txt file containing additional passwords to check for

  -ad, --ad-hashes      The NTLM hashes from of AD users

  -d, --find-duplicates Output a list of duplicate password users

  -m, --memory          Load HIBP hash list into memory (over 24GB RAM

                        required)

  -o, --out-path        Set output path. Uses working dir when not set

工具使用样例

lil-pwny -hibp ~/hibp_hashes.txt -ad ~/ad_ntlm_hashes.txt -a ~/additional_passwords.txt -o ~/Desktop/Output -m -d

使用-m选项可以将HIBP哈希加载进内存之中,这将提升密码搜索的速度。请注意,这个功能要求设备至少要有24GB可用内存。

获取输入文件

第一步:获取一份IFM活动目录数据库导出备份

在一个域控制器上使用ntdsutil来生成一份活动目录域的IFM导出。使用管理员权限打开PowerShell命令行窗口,然后运行下列命令:

ntdsutil

activate instance ntds

ifm

create full **output path**

第二步:根据上一步的输出恢复HTLM哈希

根据活动目录IFM数据恢复出NTLM哈希,此功能需要DSInternals这个PowerShell模块。

安装好该模块之后,使用IFM数据中的SYSTEM hive项来恢复出密码哈希,数据格式为“用户名:哈希”,恢复出来的数据将存储至ad_ntlm_hashes.txt文件中。相关命令如下:

$bootKey = Get-BootKey -SystemHivePath '.\registry\SYSTEM'

Get-ADDBAccount -All -DBPath '.\Active Directory\ntds.dit' -BootKey $bootKey | Format-Custom -View HashcatNT | Out-File ad_ntlm_hashes.txt -Encoding ASCII

第三步:下载最新版本的HIBP哈希文件

最新版本的HIBP哈希文件可以点击【这里】获取。

最新版本的HIBP哈希文件包含了大约5.51个密码哈希。

项目地址

Lil-Pwny:【GitHub传送门

参考资料

ntdsutil & IFM:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc732530(v=ws.11)

# 密码破解 # AD # 活动目录
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
Lil-Pwny
    额外功能
      工具安装
        工具安装
          工具使用样例
            获取输入文件
            • 第一步:获取一份IFM活动目录数据库导出备份
            • 第二步:根据上一步的输出恢复HTLM哈希
            • 第三步:下载最新版本的HIBP哈希文件
            项目地址
              参考资料