红队常用的凭证搜寻工具有哪些？

对于红队而言，拿到一个初始立足点只是漫长征途的第一步。真正的艺术在于如何从一台主机里榨取出足够多的“钥匙”，将有限的访问权限横向扩展到整个网络。这其中，自动化凭证搜寻工具扮演着无可替代的角色，它们就像数字猎犬，能嗅出散落在系统各个角落的认证信息。

内网渗透的“瑞士军刀”：PowerShell Empire & Metasploit

红队评估中，脚本化、模块化的工具集是效率的核心。Metasploit的post/windows/gather模块系列堪称经典。例如，enum_unattend能自动扫描无人值守安装文件，hashdump能提取SAM数据库，而credential_collector则是一个聚合模块，能调用多个子模块进行地毯式搜索。它的优势在于稳定、集成度高，与Meterpreter会话无缝结合。

而PowerShell Empire（及其后继者如Cobalt Strike的PowerShell Beacon）则更侧重于“无文件”和内存执行。它的PowerUp模块功能强悍，专门用于权限提升和凭证搜寻。一个Invoke-AllChecks命令下去，它能自动检查组策略首选项文件（GPP）、检索Web配置文件（web.config）、扫描注册表中的自动登录信息，甚至分析缓存的Wi-Fi密码。这种高度聚合的能力，让渗透测试人员能在几分钟内完成原本需要手动翻阅大量目录和注册表项的工作。

专用“猎犬”：LaZagne与Mimikatz

如果说前两者是综合工具箱，那么LaZagne和Mimikatz就是专精于“开锁”的大师。Mimikatz的名声在安全圈可谓如雷贯耳，它最核心的魔法是直接从LSASS进程的内存中提取明文密码、NTLM哈希和Kerberos票据。在Windows系统启用WDigest或特定条件下，即便密码复杂度再高，也难逃其“内存抓取”。红队使用它，往往是为了获取高权限用户的哈希进行传递哈希攻击。

LaZagne的设计思路则更为“扫荡式”。它支持Windows、linux、macOS三大平台，采用模块化设计，能针对性搜寻上百种常见软件存储的凭证。从浏览器保存的密码、邮件客户端密钥，到FTP工具、数据库管理软件、无线网络管理器，乃至系统级的密钥环和密码库，都在它的狩猎范围内。它的价值在于，当常规系统凭证获取受阻时，这些第三方应用的缓存密码常常成为横向移动的突破口。

文件系统“嗅探器”：GoFetch与Seatbelt

凭证不仅存在于内存和注册表，更大量地以配置文件、脚本、文档的形式散落在文件系统深处。手动使用findstr命令搜索“password”、“pass”、“pwd”等关键词效率低下。这时，像GoFetch这样的工具就派上了用场。它能递归扫描指定目录，使用正则表达式匹配大量与凭证相关的模式，不仅限于关键词，还能识别出Base64编码、连接字符串等特定格式，并将结果结构化输出。

Seatbelt则是一个更全面的“系统信息收集”工具，凭证搜寻只是其功能之一。它的CloudCredentials、PuttyHostKeys、VaultCreds等命令模块，能精准定位到Windows Credential Vault、云服务CLI配置、SSH客户端密钥等特定位置的敏感信息。这种精确打击能力，在针对特定目标（如使用了大量AWS CLI或Azure PowerShell的服务器）时尤为有效。

工具选型的实战逻辑

有经验的攻击者不会只依赖一把锤子。工具的选择基于清晰的战术逻辑：初期信息收集，可能会用Seatbelt或PowerUp做快速扫描；获取到一定权限后，Mimikatz是尝试获取域用户哈希的首选；在进行横向移动前，用LaZagne清理目标主机上的应用缓存凭证，寻找更多入口；而在所有自动化工具扫描后，针对性的手工检查（如搜索项目目录下的config.json、.env文件）依然是发现“意外之喜”的关键。

这些工具的存在，本质上映射了现代IT环境中凭证管理的混乱现状。默认配置、便利性优先的开发习惯、分散的密码存储机制，共同构成了攻击面。了解红队用什么工具，其实就是看清了防御体系中最常出现裂缝的那些地方。