RedSnarf是一款由Ed William 和 Richard Davy開發的，專門用于滲透測試及紅隊的安全工具。RedSnarf通過OpSec技術，從Windows工作站，服務器和域控制器中檢索散列和憑據。
RedSnarf的主要任務包括以下兩項：
不在入侵/滲透的主機上留下任何證據 – 包括文件，進程和服務；
不對主機造成不適當的損害，即強制主機重啟
YouTube演示：https://youtu.be/oLmpOol8NV8
為什么要使用RedSnarf？
其實除了RedSnarf，還有許多優秀的后滲透利用工具；例如smbexec和Metasploit就擁有強大的后滲透利用模塊。那么既然如此，我們為什么還要選擇使用RedSnarf呢？
下面，讓我來列舉幾點RedSnarf的不同之處：
使用起來更加簡便
占用更小的空間內存（工具代碼量小于500行）
減少服務器上的操作頻率
模塊化
線程化
RedSnarf功能包括：
檢索本地SAM散列
枚舉當前以系統權限運行的用戶及其相應的lsa密碼；
檢索MS緩存憑證；
Pass-the-hash；
快速識別弱口令和可猜測用戶名組合（默認為admin/Password01）;
跨區域檢索哈希
Credsfile將接收由空格分隔的pwdump，fgdump和純文本用戶名和密碼的混合；
Lsass轉儲以用于Mimikatz的離線分析；
使用NTDSUtil轉儲域控制器散列，并檢索NTDS.dit進行本地解析；
使用drsuapi方法轉儲域控制器散列；
從域控制器檢索腳本和策略文件夾，解析’密碼’和’管理員’；
能夠解密cpassword哈希；
能夠在遠程機器上啟動shell；
清除事件日志（應用程序，安全性，設置或系統）的能力；（僅限內部版本）
結果將被保存在每個主機基礎上用于分析。
在遠程機器上啟用/禁用RDP。
將RDP端口從3389更改為遠程計算機上的443。
在遠程機器上啟用/禁用NLA。
查找用戶在遠程計算機上登錄的位置。
Windows登錄界面后門
在遠程機器上啟用/禁用UAC。
mimikatz添加隱藏。
解析域哈希
能夠確定哪些帳戶被啟用/禁用
抓取遠程登錄的活動用戶桌面屏幕截圖
記錄遠程登錄活動用戶桌面
解密Windows密碼
解密WinSCP密碼
獲取用戶的SPN
從遠程機器檢索WIFI密碼

 
開發與依賴
RedSnarf是在以下環境開發的：
Kali Linux
python 2.7.9
termcolor (1.1.0)
依賴：
Impacket v0.9.16-dev – https://github.com/CoreSecurity/impacket.git
CredDump7 – https://github.com/Neohapsis/creddump7
使用procdump檢索Lsass - https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
Netaddr (0.7.12) – pip install netaddr
Termcolor (1.1.0) – pip install termcolor
iconv – 用于在本地解析Mimikatz信息
顯示幫助信息：
./redsnarf.py -h
./redsnarf.py --help
相關演示文檔：https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/november/introducing-redsnarf-and-the-importance-of-being-careful/
Github下載：https://github.com/nccgroup/redsnarf