StrongWind1/KerbWolf

指南 • 安装 • 命令

用于 Active Directory 的 Kerberos 哈希破解与提取工具包。 1. **Kerberos 哈希破解** - 从 Kerberos 身份验证中提取可破解的哈希值 2. **时间哈希破解** - 针对计算机和 gMSA 账户的未认证 MS-SNTP 哈希提取 3. **Pcap 提取** - 从网络抓包中离线提取 Kerberos、NTLM 和 SNTP 哈希值 ## Kerberos 哈希破解 从域控制器请求加密票据并进行离线破解。支持全部 5 种 Windows 加密类型。 | 命令 | 攻击方式 | 需要认证 | |---------|--------|---------------| | `kw-roast` | TGS-REP 哈希破解 (Kerberoast) | 是（密码、哈希或 ccache） | | `kw-asrep` | AS-REP 哈希破解 | 否（LDAP 发现需要认证） | | `kw-tgt` | TGT 获取 (pass-the-key) | 是 | ``` # 获取 TGT kw-tgt -d CORP.LOCAL --dc-ip 10.0.0.1 -u admin -p 'Password1!' -o admin.ccache # 通过 LDAP 自动发现的 Kerberoast 攻击 kw-roast -k -c admin.ccache --ldap # AS-REP 烘烤攻击 kw-asrep -d CORP.LOCAL --dc-ip 10.0.0.1 -t jsmith ``` **功能：** LDAP 枚举、hashcat + John 输出、全部 5 种加密类型 (DES/RC4/AES128/AES256)、ccache 自动检测、DNS SRV 解析、TCP/UDP 自动切换。 ## 时间哈希破解 通过 MS-SNTP 从域控制器提取等效密码的哈希值。无需认证——只需有效的 RID 即可。 | 命令 | 需要认证 | |---------|---------------| | `kw-timeroast` | 否（LDAP 发现需要认证） | ``` # 盲 RID 扫描（无认证） kw-timeroast 10.0.0.1 -r 500-5000 -o hashes.txt # LDAP 发现 + 破解字典 kw-timeroast 10.0.0.1 --ldap -d CORP.LOCAL -u admin -p 'Pass!' --wordlist crack.txt ``` **功能：** 68 字节 MD5 (hashcat 31300) + 120 字节 KDF+HMAC-SHA512、当前/先前密码选择、计算机 + gMSA 账户的 LDAP 发现、破解字典输出。 ## Pcap 提取 从网络抓包中提取所有可破解的哈希值。一个工具，支持所有协议。 | 命令 | 提取内容 | |---------|-----------------| | `kw-extract` | Kerberos (AS-REQ, AS-REP, TGS-REP)、SNTP (timeroast)、NTLM (NTLMv1, NTLMv1-ESS, NTLMv2, LMv2) | ``` # 从捕获中提取所有内容 kw-extract capture.pcap -o hashes.txt # 从 tcpdump 管道传输 tcpdump -i eth0 -w - 'port 88 or port 123 or port 445' | kw-extract - ``` **Kerberos**（端口 88）：AS-REQ 预认证时间戳、AS-REP 加密部分、TGS-REP 服务票据。全部 5 种加密类型，15 种哈希格式。 **SNTP**（端口 123）：68 字节 MD5 和 120 字节 KDF+HMAC-SHA512 时间哈希破解响应。 **NTLM**（8 种传输协议）：提取 NTLMv1、NTLMv1-ESS、NTLMv2 和 LMv2 哈希值，支持自动 TCP 流重组和 Type 2/Type 3 连接跟踪。 | 传输协议 | 端口 | 规范 | |-----------|-------|------| | SMB | 445, 139 | [MS-SMB], [MS-SMB2] | | HTTP | 80 | [MS-NTHT] | | WinRM | 5985, 5986 | [MS-WSMV] | | LDAP | 389 | SASL/SPNEGO | | SMTP | 25, 587 | [MS-SMTPNTLM] | | POP3 | 110 | [MS-POP3] | | IMAP | 143 | [MS-OXIMAP] | | Telnet | 23 | [MS-TNAP] | ## 攻击矩阵 ### Kerberos（15 种哈希类型） | | DES-CBC-CRC (1) | DES-CBC-MD5 (3) | AES128 (17) | AES256 (18) | RC4 (23) | |---|---|---|---|---|---| | **AS-REQ** | `$krb5pa$1$` | `$krb5pa$3$` | `$krb5pa$17$` (19800) | `$krb5pa$18$` (19900) | `$krb5pa$23$` (7500) | | **AS-REP** | `$krb5asrep$1$` | `$krb5asrep$3$` | `$krb5asrep$17$` (32100) | `$krb5asrep$18$` (32200) | `$krb5asrep$23$` (18200) | | **TGS-REP** | `$krb5tgs$1$` | `$krb5tgs$3$` | `$krb5tgs$17$` (19600) | `$krb5tgs$18$` (19700) | `$krb5tgs$23$` (13100) | 括号中的数字是 hashcat 模式编号。9 种 RC4/AES 模式目前均可在 hashcat 和 John 中使用。 ### 时间哈希破解（MS-SNTP） | 格式 | 算法 | hashcat 模式 | |--------|-----------|-------------| | 68 字节认证器 | `MD5(NTOWFv1 || salt)` | 31300 | | 120 字节扩展认证 | KDF(SP800-108, HMAC-SHA512) | 提议中 | ### NTLM（来自 pcap） | 类型 | hashcat 模式 | |------|-------------| | Net-NTLMv1 / NTLMv1-ESS | 5500 | | Net-NTLMv2 / LMv2 | 5600 | ## 安装 ``` pip install . # 或 uv tool install . ``` 请参阅[安装指南](docs/getting-started/installation.md)了解开发环境设置和依赖项。 ## 开发 ``` git clone https://github.com/StrongWind1/KerbWolf.git cd kerbwolf uv sync # install dev dependencies make check # run lint + typecheck + tests make docs # build documentation make format # auto-fix formatting make build # build wheel (runs check + docs first) ``` ## 免责声明 KerbWolf 仅适用于授权的渗透测试、红队演练和安全审计。在攻击任何 Active Directory 环境之前，您必须获得系统所有者的明确书面授权。未经授权访问计算机系统是违法行为。作者不对本工具的任何误用或造成的损害承担责任。 ## 致谢 基于 [Impacket](https://github.com/fortra/impacket) 和 [ldap3](https://github.com/cannatag/ldap3) 构建。灵感来自 [Rubeus](https://github.com/GhostPack/Rubeus)、[GetUserSPNs.py](https://github.com/fortra/impacket) 和 [hashcat](https://hashcat.net/)。 ## 许可证 [Apache License 2.0](LICENSE)

标签：Active Directory, AD域安全, AS-REP roasting, Conpot, Kerberoasting, LDAP枚举, Pass-the-Hash, Pass-the-Key, pcap分析, Plaso, Python安全工具, TGT攻击, Timeroasting, Windows安全, 凭证攻击, 哈希提取, 域渗透, 密码攻击, 模拟器, 横向移动, 电子数据取证, 票据传递, 离线破解, 编程规范, 网络安全, 隐私保护