frkngksl/SilentNimvest

# SilentNimvest 基本上，SilentNimvest 是一个用 Nim 编写的 SAM 和 Security Hives 解析器。SilentNimvest 使用 Silent Harvest 技术读取这些注册表配置单元下的密钥。通过这种技术，无需 SYSTEM 级别权限，只需启用 `SeBackupPrivilege` 的普通管理员账户（得益于 `NtOpenKeyEx` 标志）即可转储本地用户哈希、缓存的域登录信息、LSA Secrets 以及可从这些配置单元获取的其他机密信息 这是通过使用 `RegQueryMultipleValuesW` 这一不易引起 EDR 警报的注册表读取 API 实现的。 整个项目基于 [sud0ru 的研究](https://sud0ru.ghost.io/silent-harvest-extracting-windows-secrets-under-the-radar/)。 # 编译 你可以直接使用以下命令编译源代码： `nim c -d:release -o:SilentNimvest.exe Main.nim` 如果遇到 "cannot open file" 错误，你还应该安装所需的依赖项： `nimble install winim nimcrypto checksums des` # 使用方法 SilentNimvest 可以直接从提升权限的管理员终端执行，无需任何必需参数。 ``` PS C:\Users\test\Desktop\SilentNimvest> .\SilentNimvest.exe __ _ _ _ __ _ _ / _(_) | ___ _ __ | |_ /\ \ (_)_ __ _____ _____ ___| |_ \ \| | |/ _ \ '_ \| __|/ \/ / | '_ ` _ \ \ / / _ \/ __| __| _\ \ | | __/ | | | |_/ /\ /| | | | | | \ V / __/\__ \ |_ \__/_|_|\___|_| |_|\__\_\ \/ |_|_| |_| |_|\_/ \___||___/\__| @R0h1rr1m [!] Trying to parse SAM Related Credentials (Local Users) [*] Local User RID: 500 - Administrator - aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 [*] Local User RID: 501 - Guest - aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 [*] Local User RID: 503 - DefaultAccount - aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 [*] Local User RID: 504 - WDAGUtilityAccount - aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 [*] Local User RID: 1001 - zoro - aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 [!] Trying to parse Security Related Credentials (Cached Domain Logon Info, Machine Account and LSA Secrets) [*] DPAPI Keys: dpapi_machinekey: ea31d6cfe0d16ae931b73c59d7e0c089c037b & dpapi_userkey: 44431d6cfe0d16ae931b73c59d7e0c089c0d0 [*] NL$KM: 1f31d6cfe0d16ae931b73c59d7e0c089c031d6cfe0d16ae931b73c59d7e0c089c031d6cfe0d16ae931b73c59d7e0c089c0c01 [*] Plaintext User from _SC_Backupservice: .\zoro:SilentNimvest ``` # 参考资料 - https://sud0ru.ghost.io/silent-harvest-extracting-windows-secrets-under-the-radar/ - https://github.com/GhostPack/SharpDump - https://cocomelonc.github.io/malware/2024/06/01/malware-cryptography-28.html # 免责声明 仅限授权的安全测试使用。在未经明确许可的情况下对系统滥用此工具是非法的。

标签：Conpot, EDR绕过, LSA Secrets, NimCrypto, Nim语言, NtOpenKeyEx, RegQueryMultipleValuesW, SAM数据库, SeBackupPrivilege, SECURITY配置单元, SilentHarvest, Windows安全, Winim, 代码生成, 域凭据缓存, 密码转储, 提权, 数据泄露, 本地哈希提取, 注册表解析, 渗透测试工具, 高交互蜜罐