关于Snaffler
Snaffler 是寻找中专为测试人员设计的工具,可以帮助开发人员在工具/AD 研究中提供一个洞察数据的数据中心。
Snaffle 可以从中获取目标中的目标计算机的活动列表,并将探测文件Payload发送到所有扫描到的设备上,并判断这些数据我们拥有哪些计算机共享文件,是否可以读取。在这个过程中,Windows Snaffler 将能够通过某种方式查询银行测试人员所关注的一些信息。
目前,如果需要提高数据计算的准确性,我们还需要对数据模型进行训练,所有研究人员也可以自行完成。
工具下载
各个研究人员可以使用下列命令的项目文件至本地:
git 克隆 https://github.com/SnaffCon/Snaffler.git工具参数
-o:将输出结果保存到文件中,例如“-o C:usersthingsnaffler.log”;-s:将输出结果发送到STDOUT;-v:控制Verbose模式等级,可选项有Trace、Debug、Info和Data,例如“-v debug”;-m:给Snaffler分配一个输出目录,工具会将有价值的数据自动拷贝至该目录;-l:支持的最大文件大小,默认为10000000,大约10MB;-i:禁止计算机和共享发现,需要提供一个目录路径来执行文件扫描;-d:需要执行计算机搜索和共享文件搜索的目标域;-c:查询域计算机列表域的控制器;-r:搜索数据的最大大小,默认为500k;-j:根据数据的时间数据大小,例如“-j200”;-z 配置文件的路径,配置文件可以参考上面的所有配置参数,配置为“.”的默认配置为“.toml”;
工具使用
下面的样例将允许 Snaffle 的规则包含了指定的所有文件、目录以及关键字子目录:
[[分类器]]EnumerationScope = "目录枚举"RuleName = "DiscardFilepathContains"MatchAction = "丢弃"匹配位置 = "文件路径"WordListType = "包含"WordList = [“winsxs”,“syswow64”]分类 = “绿色”
下面的例子中,我们会解决所有的字体、图片、CSS等:
[[分类器]]EnumerationScope = "文件枚举"RuleName = "DiscardExtExact"MatchAction = "丢弃"MatchLocation = "文件扩展名"WordListType = "精确"WordList = [“.bmp”、“.eps”、“.gif”、“.ico”、“.jfi”、“.jfif”、“.jif”、“.jpe”、“.jpeg”、“.jpg”、“.png”、“.psd”、“.svg”、“.tif”、“.tiff”、“.webp”、“.xcf”、“.ttf”、“.otf”、“.css”、“.less”]
工具运行截图
日志文件结构解析
项目地址
Snaffler:
【https://github.com/SnaffCon/Snaffler】
参考资料
https://bloodhoundgang.herokuapp.com/http://joshstone.us/plunder2/https://github.com/djhohnstein/SharpShares/
作者:Alpha_h4ck ,文章转载于FreeBuf。
• 往期精选
下方点击关注发现更多精彩!
原文始发于微信公众号(银河护卫队super):Snaffler:针对工具渗透测试人员的数据挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论