Lil-Pwny：一款基于Python的多功能活动目录密码审计工具

FB客服

发布于 2021-01-07 18:06:40

4790

发布于 2021-01-07 18:06:40

文章被收录于专栏：FreeBuf

Lil-Pwny

Lil-Pwny是一款多功能活动目录密码审计工具，该工具基于Python编程语言实现，并且能够帮助广大研究人员通过多种处理方法来对活动目录密码进行安全审计。

Lil-Pwny是一款Python应用程序，能够进行用户密码的NTLM哈希进行离线安全审计和恢复活动目录密码等操作，密码恢复基于的是测试人员之前已经破解的密码（Have I Been Pwned-HIBP）。任意账户的用户名只要跟HIBP列表中的匹配，那么结果就会返回至一个.txt文件中。

额外功能

支持研究人员使用自己的密码字典/列表来检测目标活动目录用户，该功能将允许研究人员针对他们感兴趣的目标组织或目标用户来进行用户密码检测，此时工具将会对比NTLM哈希、活动目录哈希以及HIBP哈希。
返回使用了相同密码的账号列表，该功能可以帮助研究人员寻找出使用了相同密码的用户以识别管理员账号和标准账号。

Lil-Pwny支持在高资源基础设施上运行，以充分利用Python语言的多处理特性。该工具可以在桌面级硬件设备上运行，如果使用的计算核心越多，那么安全审计的速度就越快。

工具安装

广大研究人员可以使用pip来安装Lil-Pwny：

pip install lil-pwny

工具安装

Lil-Pwny能够以全局命令的形式进行安装，使用方法如下：

usage: lil-pwny [-h] -hibp HIBP [-a A] -ad AD_HASHES [-d] [-m] [-o OUTPUT]
optional arguments:
  -hibp, --hibp-path    The HIBP .txt file of NTLM hashes
  -a, --a               .txt file containing additional passwords to check for
  -ad, --ad-hashes      The NTLM hashes from of AD users
  -d, --find-duplicates Output a list of duplicate password users
  -m, --memory          Load HIBP hash list into memory (over 24GB RAM
                        required)
  -o, --out-path        Set output path. Uses working dir when not set

工具使用样例

lil-pwny -hibp ~/hibp_hashes.txt -ad ~/ad_ntlm_hashes.txt -a ~/additional_passwords.txt -o ~/Desktop/Output -m -d

使用-m选项可以将HIBP哈希加载进内存之中，这将提升密码搜索的速度。请注意，这个功能要求设备至少要有24GB可用内存。

获取输入文件

第一步：获取一份IFM活动目录数据库导出备份

在一个域控制器上使用ntdsutil来生成一份活动目录域的IFM导出。使用管理员权限打开PowerShell命令行窗口，然后运行下列命令：

ntdsutil
activate instance ntds
ifm
create full **output path**

第二步：根据上一步的输出恢复HTLM哈希

根据活动目录IFM数据恢复出NTLM哈希，此功能需要DSInternals这个PowerShell模块。

安装好该模块之后，使用IFM数据中的SYSTEM hive项来恢复出密码哈希，数据格式为“用户名:哈希”，恢复出来的数据将存储至ad_ntlm_hashes.txt文件中。相关命令如下：

$bootKey = Get-BootKey -SystemHivePath '.\registry\SYSTEM'
Get-ADDBAccount -All -DBPath '.\Active Directory\ntds.dit' -BootKey $bootKey | Format-Custom -View HashcatNT | Out-File ad_ntlm_hashes.txt -Encoding ASCII