在前端时间,基于 SMB 中的 NTLMSSP 数据包做了一个解析工具。
而在昨天看到了有个公众号发的一篇文章 红蓝对抗之利用NTLM认证探测Windows信息,总结得挺多种方式的。因此在参考了其代码后,综合之前写的代码,最后写成了这个工具
-
SMB 的数据包是延用了之前写的工具生成的;
-
WMI 是从其他工具提取发送的数据包,包含判断机器位数 ;
-
MSSQL 是从 MssqlInfo 截取的;
-
Exchange、WinRM 基于 HTTP 的认证。
关于 NTLMSSP 的内容,这里使用了结构体进行解析,比较容易理解。
SharpDetectionNTLMSSP.exe -m Moudle -h ip -p port
Moudel:
Exchagne
MSSql
SMB
WinRM
WMI
效果:
