GetNPUsers.py เป็นเครื่องมือประเภท Post-Exploitation และ Active Directory Enumeration โดยเฉพาะในกลุ่มของ Kerberos-based attacks ซึ่งมุ่งเน้นการโจมตีระบบ Windows Active Directory (AD) ประเภทหลัก ๆ ของเครื่องมือมีดังนี้: Post-Exploitation - ใช้เมื่อผู้ทดสอบหรือแฮ็กเกอร์สามารถเข้าถึงระบบ AD ได้แล้ว และต้องการดึงข้อมูลเพิ่มเติมหรือใช้ช่องโหว่ภายในระบบที่เข้าถึงได้ Enumeration Tool - ใช้สำหรับการตรวจสอบและเก็บข้อมูลเชิงลึกเกี่ยวกับการตั้งค่าและการกำหนดค่าของ Active Directory Kerberos Attack Tool - เน้นการโจมตีที่เกี่ยวข้องกับโปรโตคอล Kerberos ซึ่งใช้สำหรับการยืนยันตัวตนในระบบ AD โดย GetNPUsers.py ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยค้นหาบัญชีที่สามารถดึง hash ของ Kerberos ออกมาได้โดยไม่ต้องมีการยืนยันตัวตน (pre-authentication) ทำให้สามารถนำ hash เหล่านี้ไปใช้ในการ crack เพื่อค้นหารหัสผ่านของผู้ใช้
BloodHound.py เป็นเครื่องมือประเภท Active Directory Enumeration และ Post-Exploitation ที่ใช้ในการ วิเคราะห์และเก็บข้อมูลของ Active Directory (AD) เพื่อช่วยในการทำ Privilege Escalation และ Attack Path Analysis โดยเครื่องมือนี้เป็นส่วนหนึ่งของ BloodHound ซึ่งเป็นแพลตฟอร์มที่ช่วยในการวิเคราะห์โครงสร้างและเส้นทางการโจมตีใน AD ผ่านการแสดงผลแบบกราฟ การทำงานของ BloodHound.py: เก็บข้อมูลใน Active Directory – BloodHound.py ทำงานในขั้นตอนของการรวบรวมข้อมูล เช่น ข้อมูลเกี่ยวกับผู้ใช้ กลุ่ม สิทธิ์การเข้าถึง การเป็นสมาชิกในกลุ่มต่าง ๆ และสิทธิ์การใช้งานทรัพยากรในเครือข่าย สร้างกราฟการโจมตี – ข้อมูลที่ได้จะถูกส่งไปยัง BloodHound เพื่อสร้างกราฟแสดงเส้นทางการโจมตีที่เป็นไปได้ เช่น เส้นทางการเข้าถึงทรัพยากรที่สำคัญ หรือการเพิ่มสิทธิ์ในการเข้าถึง (Privilege Escalation) ประเภทของการโจมตีที่ BloodHound.py ช่วยในการวิเคราะห์ ได้แก่: การระบุเส้นทางการเข้าถึง Domain Admins หรือผู้ใช้ที่มีสิทธิ์สูง การตรวจสอบสิทธิ์ Kerberos Delegation และ SPN (Service Principal Name) ที่อาจใช้ในการโจมตี การวิเคราะห์ Trust Relationships ระหว่างโดเมน BloodHound.py จึงถือเป็นเครื่องมือสำคัญในการ Active Directory Auditing และ Post-Exploitation ซึ่งช่วยในการทำแผนที่เครือข่ายและตรวจหาช่องโหว่ในการกำหนดสิทธิ์ในระบบ AD
mssqlclient.py เป็นเครื่องมือประเภท Post-Exploitation และ SQL Injection Exploitation ที่ใช้ในการโจมตีและจัดการกับฐานข้อมูล Microsoft SQL Server (MSSQL) โดยเฉพาะในการ เข้าถึงข้อมูล และ จัดการการตั้งค่าของฐานข้อมูล MSSQL ที่อาจมีช่องโหว่หรือไม่ได้รับการป้องกันอย่างเหมาะสม เครื่องมือนี้เป็นส่วนหนึ่งของ Impacket toolkit ซึ่งเป็นชุดเครื่องมือที่เน้นการทดสอบเจาะระบบในเครือข่ายและฐานข้อมูลต่าง ๆ คุณสมบัติหลักของ mssqlclient.py: เชื่อมต่อกับฐานข้อมูล MSSQL: ใช้สำหรับเชื่อมต่อและดำเนินการกับฐานข้อมูล MSSQL ที่เปิดให้เข้าถึงผ่านเครือข่าย โจมตีผ่าน SQL Authentication: สามารถใช้ในการทดสอบช่องโหว่ในกระบวนการยืนยันตัวตนของ MSSQL โดยการใช้ username และ password หรือการโจมตีแบบ brute force การจัดการฐานข้อมูล: ช่วยให้สามารถรันคำสั่ง SQL, ดูข้อมูลในฐานข้อมูล, หรือดึงข้อมูลจากตารางต่าง ๆ ได้ การขยายการเข้าถึง: หลังจากที่สามารถเข้าถึงฐานข้อมูล MSSQL ได้แล้ว เครื่องมือนี้สามารถช่วยในการยกระดับสิทธิ์การเข้าถึง (Privilege Escalation) หรือการขยายการควบคุมไปยังเซิร์ฟเวอร์หรือเครือข่ายอื่น ๆ ที่เชื่อมโยงกับ MSSQL
Invoke-PowerShellTcp.ps1 เป็นเครื่องมือประเภท Post-Exploitation และ Reverse Shell ที่ใช้ในงาน penetration testing และ red team operations โดยเฉพาะเมื่อโจมตีระบบ Windows และใช้ PowerShell เป็นช่องทางในการเข้าถึงระบบเป้าหมายหลังจากการเจาะระบบสำเร็จ คุณสมบัติหลักของ Invoke-PowerShellTcp.ps1: Reverse Shell: เป็นเครื่องมือที่ใช้สร้าง reverse shell ซึ่งทำให้ผู้โจมตีสามารถเชื่อมต่อไปยังเครื่องที่ถูกโจมตีและควบคุมมันจากระยะไกล โดยใช้ PowerShell ในการสื่อสาร PowerShell-Based Exploitation: ใช้ PowerShell ในการรันคำสั่งต่าง ๆ ในเครื่องเป้าหมาย ซึ่งทำให้เครื่องมือดังกล่าวสามารถใช้ได้ในเครื่องที่เปิดใช้งาน PowerShell โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม Bypass Security Mechanisms: PowerShell มักไม่ได้ถูกบล็อกหรือระบุเป็นเครื่องมือที่น่าสงสัยในหลายกรณี ดังนั้นการใช้ Invoke-PowerShellTcp.ps1 อาจช่วยหลีกเลี่ยงการตรวจจับโดยเครื่องมือป้องกันต่าง ๆ เช่น Antivirus หรือ EDR (Endpoint Detection and Response)
