vitwervit/IPCRecon

# IPCRecon 通过 IPC$ 枚举远程 Windows 主机上的命名管道，并通过管道签名识别运行中的软件。 内置 **260+ 模式**数据库，覆盖 EDR/AV、远程访问工具、C2 框架、数据库和攻击面指标 — 全部已分类并标注归属。 ## 功能 - **分类输出**：攻击面、安全/EDR、远程访问、数据库、监控、噪声、Windows 系统 - **攻击面检测**：突出显示表明 coercion/relay/privesc 向量的管道（ADCS、Print Spooler、WebClient、EFS、Netlogon、DFS） - **智能默认**：隐藏 Windows 系统噪声，显示所有有趣内容 - **多认证回退**：null session → Guest → 凭证，带有清晰的错误信息 - **JSON 输出**，支持与 `parallel`、`jq` 等工具集成 - **可扩展**，支持外部 JSON 数据库 ## 快速开始 ``` git clone https://github.com/vitwervit/IPCRecon cd IPCRecon && python3 -m venv venv && source ./venv/bin/activate && pip install -r requirements.txt or pipx install git+https://github.com/vitwervit/IPCRecon # 单主机带凭据 python3 IPCRecon.py domain/user:password@10.0.0.5 # Null session python3 IPCRecon.py @10.0.0.5 # 使用 GNU parallel 进行大规模扫描 cat targets.txt | parallel -j 10 --timeout 30 --tag \ python3 IPCRecon.py 'domain/user:pass@{}' 2>/dev/null ``` ## 输出示例 ``` [*] Host: 192.168.10.10 (auth: credentials) Total pipes: 133 | Shown: 14 | Hidden: 119 🔴 C2 / Offensive Tools (1) ▸ PSEXESVC ← Sysinternals PsExec 🟡 Unidentified (investigate!) (1) ● idodfopwgixcxchnnish ⚔ Attack Surface (coercion/relay/privesc) (2) ▸ spoolss ← Print Spooler → SpoolSample coercion, PrintNightmare ▸ cert ← ADCS (Certificate Services) → ESC 🛡 Security / EDR / AV (7) ○ Kaspersky Endpoint Security (5 pipes) ○ kscipc\15052 [Kaspersky Security Center (KSC)] ○ kscipc\3880 [Kaspersky Security Center (KSC)] 🖥 Remote Access / VPN (3) ○ OutlineServicePipe [Outline VPN] ○ TightVNC_Service_Control [TightVNC] ○ TVN_log_pipe_public_name [TightVNC] Hidden: 🪟 Windows System (default): 32, ⚙ Runtime / Drivers / Noise: 88 Use -show-windows to show Windows pipes, -show-noise to show runtime/drivers ``` ## 可见性控制 ``` # 显示默认 Windows 管道 python3 IPCRecon.py ... -show-windows # 显示运行时/驱动噪声 (Chromium, .NET, 打印机...) python3 IPCRecon.py ... -show-noise # 仅显示安全与 C2 类别 python3 IPCRecon.py ... -only security c2 # 隐藏特定类别 python3 IPCRecon.py ... -hide database other # JSON 输出 python3 IPCRecon.py ... -json ``` ## 扩展数据库 使用其他模式创建 JSON 文件： ``` { "pipes": [ {"pattern": "MyCorpAgent", "software": "Corp Agent", "category": "security", "type": "exact"}, {"pattern": "^CorpVPN_", "software": "Corp VPN", "category": "remote", "type": "regex"} ] } ``` 分类：`windows`、`security`、`remote`、`c2`、`attack`、`database`、`monitoring`、`noise`、`other` ``` python3 IPCRecon.py ... -known-db my_extra_pipes.json ``` ## 致谢 - 模式数据库灵感来自 [tothi/serviceDetector](https://github.com/tothi/serviceDetector)、 [SigmaHQ](https://github.com/SigmaHQ/sigma) (DRL 1.1)、 [mthcht/awesome-lists](https://github.com/mthcht/awesome-lists) - 基于 [impacket](https://github.com/fortra/impacket) 构建 (Apache 2.0)

标签：ADCS, AD域安全, AV检测, C2框架检测, Conpot, EDR检测, Homebrew安装, HTTP工具, IPC$, Mr. Robot, PE 加载器, Print Spooler, Python安全工具, SNMP, Windows安全, 云存储安全, 反取证, 命名管道枚举, 安全评估, 提权防护, 插件系统, 攻击面分析, 无服务器架构, 权限维持检测, 横向移动, 系统发现, 编程规范, 网络扫描, 软件识别, 远程信息收集, 逆向工具