incursi0n/BlueSAM
GitHub: incursi0n/BlueSAM
一个利用 BlueHammer 漏洞从内存中转储 SAM 数据库的 Cobalt Strike BOF 工具。
Stars: 111 | Forks: 17
# BlueSAM BOF
一个 Cobalt Strike Beacon Object File 适配的 BlueHammer 版本,尝试通过 Windows Defender 更新/VSS 行为获取
SAM 数据库的副本,并通过 Beacon 离线处理注册表数据。
感谢 Nightmare-Eclipse 的 BlueHammer
(https://github.com/Nightmare-Eclipse/BlueHammer) 提供的原始 PoC。
## 开始使用
1. Git 克隆仓库
2. 运行 `make`
## 用法
1. 将 bluesam.cna 脚本导入 Cobalt Strike
2. 使用命令 `bluesam`
```
bluesam
Command Description
(none) Runs the BlueSAM BOF with the default target behavior.
any argument Shows this help menu.
```
## 示例运行
## 致谢:
- https://github.com/Nightmare-Eclipse/BlueHammer
- https://github.com/MEhrn00/boflink
- https://github.com/trustedsec/CS-Situational-Awareness-BOF/tree/master/src/base_template
- https://github.com/CodeXTF2/bof_template
## 致谢:
- https://github.com/Nightmare-Eclipse/BlueHammer
- https://github.com/MEhrn00/boflink
- https://github.com/trustedsec/CS-Situational-Awareness-BOF/tree/master/src/base_template
- https://github.com/CodeXTF2/bof_template标签:BlueHammer, BOF, Cobalt Strike, Conpot, SAM数据库, SCP, VSS, Windows Defender, Windows安全, 主机友好, 内存提取, 凭证盗窃, 反取证, 威胁模拟, 安全评估, 客户端加密, 攻击诱捕, 数据展示, 本地权限提升, 欺骗防御, 注册表, 离线取证, 红队