探索网络安全的新领域：Farmer - 收割NetNTLM Hash的利器

作者：@domchell

项目简介

在网络安全的世界中，Farmer是一个独特的工具，它设计用于在网络域环境中收集NetNTLM哈希值。通过创建一个本地WebDAV服务器，Farmer使得任何连接到该服务器的客户端自动进行身份验证，从而曝光出用户的NetNTLM哈希信息。

技术解析

Farmer的工作原理在于利用Windows的WebDAV微型重定向器，当用户访问被注入恶意链接的文件共享时，系统会尝试从Farmer的WebDAV服务器获取图标，这个过程中就会发送用户的认证信息。此外，项目还包括两个辅助工具：

• Crop：用于创建LNK快捷方式文件，这些文件能诱导用户无意间连接到Farmer的WebDAV服务器。
• Fertiliser：可以在Office文档（目前仅支持docx）中植入恶意字段代码。当打开文档时，这些字段会被解析，导致用户NetNTLM哈希泄露给预设的WebDAV服务器。

应用场景

Farmer及其子模块在多种场景下可发挥作用，例如：

• 网络审计和渗透测试中，安全专业人员可以利用Farmer收集特定环境下的用户认证信息，以评估网络安全性。
• 教育与研究，理解NTLM认证过程，以及攻击者如何利用这种机制来窃取敏感信息。

项目特点

1. 自动化收集: 内置监听功能，只需指定端口和时间（或无限期运行），即可自动收集哈希数据。
2. 多途径攻击: 通过LNK文件和恶意字段代码两种方式，增加成功获取NetNTLM哈希的可能性。
3. 灵活配置: 用户可以选择将日志输出到文件，并选择是否使用AES加密，确保数据的安全性。
4. 解密工具: 提供HarvestCrop，轻松解密并查看加密的日志文件。

要开始你的“农耕”之旅，只需遵循README中的简单命令行指示，立即启用Farmer收集器，探索隐藏在认证协议背后的秘密。

请注意，虽然这是一个强大的工具，但请务必遵守道德和法律规范，在合法授权的范围内使用。这是一把双刃剑，正确使用才能为网络安全做出贡献。