tofu：一款功能強大的模塊化Windows文件系統安全測試工具

關于tofu

tofu是一款功能強大的針對Windows文件系統安全的模塊化工具，該工具可以使用離線方法對目標Windows文件系統進行滲透測試，并通過繞過Windows系統登錄界面來幫助廣大研究人員測試Windows主機的安全性。除此之外，該工具還可以執行哈希轉儲、OSK后門和用戶枚舉等安全測試任務。

工具運行機制

當Windows計算機關閉時，除非它啟用了Bitlocker或其他加密服務，否則它的存儲設備中將包含設備上存儲的所有內容，就好像它已經被解鎖了一樣。這也就意味著，我們可以在帶有引導功能的U盤上從操作系統引導并訪問其文件，甚至只需將文件系統連接到另一臺計算機也可以實現類似的功能。

該工具可以幫助廣大研究人員確定何時可以從Linux訪問Windows文件系統，并執行NTLM密碼哈希轉儲、用戶枚舉、后門安裝和登錄繞過等安全任務。

工具組件

PyCryptodome

PypyKatz

功能模塊

由于tofu是以模塊化架構開發的，因此我們也可以根據自己的需要來擴展其他的功能模塊。該工具當前支持的模塊如下：

hashdump.py：從目標Windows文件系統導出NTLM哈希；

osk_backdoor.py：后門程序osk.exe可繞過登錄界面；

list_users.py：枚舉目標Windows系統用戶；

chrome.py：導出Chrome歷史記錄和所有用戶的登錄數據；

get_dpapi_masterkeys.py：導出DPAPI主密鑰；

enum_unattend.py：枚舉文件；

memory_strings.py：搜索內存數據；

startup.py：向用戶啟動目錄注入一個程序；

wifi.py：獲取Wi-Fi密碼；

工具安裝

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/puckblush/tofu.git

接下來，使用pip3命令并通過項目提供的requirements.txt文件來安裝該工具所需的依賴組件：

sudo pip3 install -r requirements.txt

最后，直接使用下列命令便可運行tofu：

sudo python3 tofu.py

工具使用幫助

'list'：枚舉所有的存儲設備，并將驅動器路徑加載到內存中；

'usedrive'：設置需要使用的驅動器，可以通過驅動器號進行設置；

'modules'：枚舉功能模塊，并將所有功能模塊加載到內存中以便后續使用；

'use'：選擇一個需要使用的功能模塊；

項目地址

tofu：【GitHub傳送門】

參考資料

https://github.com/Legrandin/pycryptodome

https://github.com/skelsec/pypykatz?