Shwmae：一款Windows Hello滥用工具

Shwmae：一款Windows Hello滥用工具

Shwmae 项目地址: https://gitcode.com/gh_mirrors/sh/Shwmae

在现代操作系统中，生物识别技术如Windows Hello为用户提供了便捷的身份验证方式。然而，任何技术都可能被滥用。今天，我们将介绍一款名为Shwmae的工具，它可以在特权用户上下文中滥用Windows Hello。

项目介绍

Shwmae是一款Windows Hello滥用工具，首次在DEF CON 32会议上作为“Abusing Windows Hello Without a Severed Hand”演讲的一部分发布。该工具的主要目的是在具有特权的用户上下文中滥用Windows Hello，从而获取敏感信息。

项目技术分析

Shwmae提供了多种操作模式，包括枚举Windows Hello保护者、密钥和凭据、生成PRT（Privacy Redirection Token）、创建Web服务器代理WebAuthn请求、转储Windows Hello保护的密钥以及使用特定密钥签名数据。

枚举模式

枚举模式是Shwmae的默认操作模式，它会枚举所有可用的Windows Hello容器以及容器内的所有Windows Hello注册的密钥和保护者。如果主机没有TPM（可信平台模块），它还会生成PIN保护者的哈希，这个哈希可以使用hashcat工具进行离线分析。

PRT模式

PRT模式通过prt命令生成初始PRT，并可以续订现有的PRT。如果租户中启用了云信任，它还可以解密云TGT，用于在本地Active Directory中模拟用户。

WebAuthn模式

WebAuthn模式通过webauthn命令设置一个简单的Web API，用于接收来自ShwmaeExt浏览器扩展的WebAuthn断言请求。

Dump模式

dump命令用于提取由软件密钥存储提供者支持的Windows Hello背后的私钥。

Sign模式

sign命令用于使用特定的Windows Hello密钥对任意数据进行签名。

项目技术应用场景

Shwmae工具可以应用于多种安全测试场景，包括：

• 在渗透测试中，获取Windows Hello保护的凭据。
• 在内部网络中，滥用Windows Hello权限以提升权限。
• 在安全评估中，测试Windows Hello配置的弱点。

项目特点

Shwmae具有以下特点：

• 多模式操作：支持多种操作模式，满足不同场景的需求。
• 强大的枚举能力：能够枚举Windows Hello容器、密钥和保护者。
• 灵活的PRT管理：生成和续订PRT，支持云信任场景。
• WebAuthn代理：通过Web服务器代理WebAuthn请求，方便进行复杂的攻击场景。
• 安全性：工具本身不包含任何恶意代码，仅用于合法的安全测试。

总结

Shwmae是一款强大的Windows Hello滥用工具，它为安全专家提供了一个新的视角来测试和保护Windows Hello配置。通过其多样化的操作模式和应用场景，Shwmae在确保Windows Hello安全方面发挥着重要作用。对于安全研究人员和渗透测试人员来说，Shwmae无疑是一个值得关注的工具。

Shwmae 项目地址: https://gitcode.com/gh_mirrors/sh/Shwmae