Art-Fakt/LSAWhisperer-BOF
GitHub: Art-Fakt/LSAWhisperer-BOF
将 LSA Whisperer 移植至 Adaptix C2 的 BOF 工具,通过 LSA 认证包接口提取 Windows 凭据、Kerberos 票据及 Azure AD SSO Cookie。
Stars: 1 | Forks: 0
# LSAWhisperer-BOF
由 Evan McBroom / SpecterOps 开发的 [LSA Whisperer](https://github.com/EvanMcBroom/lsa-whisperer) 移植至 **Adaptix C2** BOF 框架。
通过 `LsaCallAuthenticationPackage` 与 Windows LSA Authentication Packages (MSV1_0, Kerberos, CloudAP) 交互,以提取凭据、票据和 SSO cookie。
## 命令
### MSV1_0 模块
| 命令 | 描述 | 需要提权 |
|---------|------------|-------------------|
| `lsa-credkey` | 恢复登录会话的 DPAPI credential key | 是 |
| `lsa-strongcredkey` | 恢复 strong credential key (Win10+) | 是 |
| `lsa-ntlmv1` | 生成 NTLMv1 挑战响应(用于哈希破解) | 是 |
### Kerberos 模块
| 命令 | 描述 | 需要提权 |
|---------|------------|-------------------|
| `lsa-klist` | 列出缓存的 Kerberos 票据 | 否 (自身) / 是 (其他) |
| `lsa-dump` | 转储完整的 Kerberos 票据 (kirbi 格式) | 否 (自身) / 是 (其他) |
| `lsa-purge` | 清除缓存的 Kerberos 票据 | 否 (自身) / 是 (其他) |
### CloudAP 模块
| 命令 | 描述 | 需要提权 |
|---------|------------|-------------------|
| `lsa-ssocookie` | 获取 Azure AD SSO cookie (PRT cookie) | 否 (自身) / 是 (其他) |
| `lsa-devicessocookie` | 获取 Device SSO cookie | 否 (自身) / 是 (其他) |
| `lsa-enterprisesso` | 获取 Enterprise SSO cookie | 否 (自身) / 是 (其他) |
| `lsa-cloudinfo` | 获取 CloudAP 信息(提供者、TGT、DPAPI 状态) | 否 (自身) / 是 (其他) |
## 选项
所有命令均接受可选的 `-l` 标志以指定目标 LUID:
```
lsa-klist -l 0x3e7
lsa-credkey -l 0x1a2b3
```
如果不指定 `-l`,命令将针对当前会话。针对其他会话需要提权(SYSTEM)。
`lsa-ntlmv1` 命令还接受 `-c` 标志用于指定服务器挑战(server challenge):
```
lsa-ntlmv1 -c 1122334455667788
```
如果未指定,则使用默认挑战 `1122334455667788`(兼容 crack.sh 免费破解)。
## 构建
```
make all # Build all modules (x64 + x86)
make clean # Remove compiled objects
```
需要 MinGW 交叉编译器:
- `x86_64-w64-mingw32-gcc`
- `i686-w64-mingw32-gcc`
### 输出
```
_bin/msv1_0_bof.x64.o
_bin/msv1_0_bof.x86.o
_bin/kerberos_bof.x64.o
_bin/kerberos_bof.x86.o
_bin/cloudap_bof.x64.o
_bin/cloudap_bof.x86.o
```
## 致谢
- 原始工具:[LSA Whisperer](https://github.com/EvanMcBroom/lsa-whisperer) 由 Evan McBroom / SpecterOps 开发 (MIT License)
- Adaptix C2 移植:适配至 Adaptix BOF 框架
标签:Adaptix C2, Azure AD, BOF, C2框架, CloudAP, Conpot, DPAPI, Gophish, LSA, Mimikatz替代, NTLM, PE 加载器, PRT, SSO, StruQ, Windows安全, 内存操作, 凭据转储, 协议分析, 哈希提取, 安全学习资源, 客户端加密, 客户端加密, 客户端加密, 数据展示, 权限提升, 模拟器, 欺骗防御, 红队, 网络安全, 认证包, 隐私保护