探索网络安全新境界:HEKATOMB 工具详解
在网络安全的领域中,掌握系统漏洞和数据保护至关重要。今天我们要介绍的是 HEKATOMB,一个用于 LDAP 目录查询、DPAPI 摄取与解密的强大工具,旨在帮助安全研究人员更深入地理解域控制器的安全机制。
项目简介
HEKATOMB 是一个基于 Python 3.11 的脚本,其主要功能是连接到 LDAP 目录以获取所有计算机和用户信息,下载所有用户的 DPAPI(数据保护 API)blob,并通过 RPC 技术提取域控制器的私钥,以便解密所有凭证。这个工具可让你以一种自动化的方式,了解网络中的敏感信息存储方式,从而加强安全性。
项目技术分析
HEKATOMB 使用了包括 ldap3
和 Impacket
在内的强大库,可以高效处理 LDAP 查询和 SMB 协议交互。在最新版本 V 1.5 中,修复了本地包导入错误,并防止了无法访问计算机时的崩溃问题。它支持多种选项,如使用特定用户或计算机进行目标定位,以及将结果导出为 CSV 文件。
此外,HEKATOMB 还能比较 LDAP 用户名与 SMB 用户文件夹,以更快地检索 blob 文件,同时改进了 DNS 解析策略,增强了网络通信的隐蔽性。
应用场景
HEKATOMB 主要适用于以下场景:
- 安全审计:对组织内部的 AD 环境进行全面安全审计,识别潜在风险。
- 故障排查:当需要查找用户凭据错误或验证 AD 数据完整性时。
- 研究与教育:学习理解 Windows 系统的密码管理机制。
项目特点
- 自动化操作:HEKATOMB 自动完成从 LDAP 检索、下载 blob 到解密的过程。
- 安全强化:利用域控制器的私钥解密,提供对敏感信息的深度访问。
- 多选择性:可以选择特定用户、计算机,或者导出结果至 CSV 格式。
- 易于安装:可通过 Pypi 或者直接从 GitHub 源代码安装。
- 灵活配置:支持自定义 DNS 服务器,可指定端口,甚至强制使用 SMBv2 协议。
使用 HEKATOMB 需要具备一定的网络安全知识,但它的强大功能和易用性使其成为安全专业人员不可或缺的工具之一。如果你想要深入了解 AD 域环境下的密码保护,HEKATOMB 肯定会是你的好帮手。现在就尝试安装并体验 HEKATOMB 的强大功能吧!
pip3 install hekatomb
# 或者从 Github 克隆源代码安装
git clone https://github.com/ProcessusT/HEKATOMB
cd HEKATOMB
poetry install
poetry run hekatomb
我们期待你的反馈,一起探索这个项目的无限可能!