Snaffler实战技巧：5个真实场景下的高级配置与优化策略

Snaffler实战技巧：5个真实场景下的高级配置与优化策略

【免费下载链接】Snafflera tool for pentesters to help find delicious candy, by @l0ss and @Sh3r4 ( Twitter: @/mikeloss and @/sh3r4_hax )项目地址: https://gitcode.com/gh_mirrors/sn/Snaffler

Snaffler是一款专为渗透测试人员和红队设计的Active Directory环境敏感信息嗅探工具，能够自动化扫描Windows域环境中的文件共享并提取有价值的信息。本文将分享5个真实场景下的高级配置与优化策略，帮助你充分发挥这款强大工具的性能。

1. 性能优化：线程与队列的黄金配置 ⚡

在大型企业环境中，Snaffler需要处理成千上万的计算机和数百万个文件。合理的线程配置是确保性能的关键。默认配置可能无法满足大规模扫描需求，我们需要根据环境特点进行调整。

核心参数说明：

• ShareThreads：负责检查域计算机可读文件共享的线程数
• TreeThreads：负责遍历共享目录结构的线程数
• FileThreads：负责检查文件内容的线程数（最重要！）
• MaxFileQueue：文件扫描任务队列的最大容量

优化策略：

# 高性能配置示例（适用于大型环境） ShareThreads = 30 # 共享发现线程 TreeThreads = 20 # 目录遍历线程 FileThreads = 50 # 文件扫描线程（关键！） MaxShareQueue = 20000 # 共享任务队列 MaxTreeQueue = 20000 # 目录遍历队列 MaxFileQueue = 200000 # 文件扫描队列

为什么这样配置？文件扫描任务数量远多于其他任务类型。每个共享发现任务可能产生多个目录遍历任务，而每个目录遍历任务可能产生数千个文件扫描任务。因此，文件扫描线程需要最多资源来保持队列流畅。

2. 精准目标：避免触发安全告警的隐蔽扫描 🕵️

Snaffler默认模式（查询AD并扫描所有域计算机）非常嘈杂，容易被安全设备检测到。以下是几种隐蔽扫描策略：

场景A：已获取权限的服务器本地扫描

Snaffler.exe -s -i C:\

此命令仅在本地文件系统运行，不进行网络扫描，大大降低被发现风险。适合在已攻陷的服务器上快速查找敏感文件。

场景B：针对特定共享的精确扫描

# 在配置文件中指定精确目标 ShareFinderEnabled = false PathTargets = ["\\\\server01\\finance", "\\\\server02\\backup"]

通过禁用自动共享发现，只扫描已知的高价值目标，减少网络流量和日志记录。

场景C：DFS-only模式（更隐蔽）

Snaffler.exe -f -s -o results.log

-f参数限制Snaffler仅通过DFS（分布式文件系统）查找文件共享，这种方式更加隐蔽，同时仍能覆盖组织中最大的文件共享。

3. 规则定制：打造专属的敏感信息检测规则 🎯

Snaffler的强大之处在于其灵活的规则系统。默认规则位于Snaffler/SnaffRules/DefaultRules，但你可以创建自定义规则来适应特定环境。

创建自定义规则文件

# custom-rules.toml - 检测财务相关敏感文件 [[ClassifierRules]] EnumerationScope = "FileEnumeration" RuleName = "KeepFinanceDocs" MatchAction = "Snaffle" MatchLocation = "FileName" WordListType = "Contains" WordList = [ "budget", "invoice", "payment", "salary", "payroll", "tax", "financial", "revenue" ] Triage = "Red" # 规则链：先匹配扩展名，再检查内容 [[ClassifierRules]] EnumerationScope = "FileEnumeration" RuleName = "ExcelRelay" MatchLocation = "FileExtension" WordListType = "Exact" WordList = [".xlsx", ".xls"] MatchAction = "Relay" RelayTargets = ["FindFinanceData"] [[ClassifierRules]] RuleName = "FindFinanceData" EnumerationScope = "ContentsEnumeration" MatchAction = "Snaffle" MatchLocation = "FileContentAsString" WordListType = "Contains" WordList = ["SSN", "credit card", "account number", "routing"] Triage = "Black"

使用自定义规则

Snaffler.exe -s -p .\custom-rules\ -o results.log

4. 输出优化：结构化日志与自动化处理 📊

Snaffler支持多种输出格式，合理配置可以大大简化后续分析工作。

JSON格式输出（推荐）

LogType = "JSON" LogToFile = true LogFilePath = "C:\\snaffler-output.json" LogToConsole = false

JSON格式便于使用脚本自动化处理结果，可以轻松集成到其他安全工具中。

TSV格式（表格友好）

Snaffler.exe -s -y -o results.tsv

TSV格式可以直接导入Excel或数据库进行分析。

上下文匹配展示

MatchContextBytes = 500 # 显示匹配位置前后500字节 MaxSizeToGrep = 2000000 # 增加可搜索的文件大小限制

增加上下文字节数可以帮助你快速理解找到的内容，而增加文件大小限制可以确保扫描到更大的配置文件。

5. 实战场景：5种典型渗透测试用例 🎯

场景1：快速内部评估

# 使用默认规则，仅扫描本地系统 Snaffler.exe -s -i C:\ -v info -o quick_scan.log

适合时间有限的评估，快速识别最明显的安全问题。

场景2：针对性凭证收集

# 配置文件中启用域用户规则 DomainUserRules = true DomainUserMinLen = 6 DomainUserMatchStrings = ["sql", "svc", "admin", "backup"] DomainUsersWordlistRules = ["KeepConfigRegexRed"]

此配置会从AD获取服务账户和高权限账户，并在配置文件中搜索这些用户名。

场景3：合规性检查

创建专门检测特定合规性问题的规则，如：

• 未加密的PII数据
• 硬编码的API密钥
• 明文存储的密码

场景4：红队行动后渗透

# 结合其他工具的输出作为目标 Snaffler.exe -s -n targets.txt -f -o post_exploit.log

使用-n参数指定从其他工具（如BloodHound）获取的目标列表，进行针对性扫描。

场景5：蓝队防御性扫描

# 蓝队配置：只记录不下载 Snaffle = false LogDeniedShares = true # 记录无法访问的共享 InterestLevel = 2 # 只关注高价值目标

作为防御方，使用Snaffler识别环境中可能存在的敏感信息泄露点。

高级技巧与注意事项 ⚠️

内存管理

大型扫描可能消耗大量内存。监控以下指标：

• 文件扫描队列大小（MaxFileQueue）
• 单个文件最大扫描大小（MaxSizeToGrep）
• 线程数量与系统资源平衡

规则性能优化

• 避免过于复杂的正则表达式
• 使用Discard规则尽早过滤无关文件
• 将昂贵的操作（如证书解析）放在规则链末端

错误处理

# 在配置文件中添加调试选项 LogLevelString = "debug" # 调试模式

遇到问题时，启用调试日志可以了解Snaffler的内部工作流程。

集成建议

将Snaffler集成到你的渗透测试工作流中：

1. 使用-z generate生成基础配置文件
2. 根据目标环境定制规则
3. 将输出结果导入SIEM或安全分析平台
4. 建立定期扫描机制

总结

Snaffler是一款功能强大的Active Directory敏感信息嗅探工具，通过合理的配置和优化，可以在渗透测试和红队行动中发挥巨大作用。记住：正确的配置比强大的硬件更重要。根据你的具体需求调整线程、队列和规则设置，才能在安全性和效率之间找到最佳平衡点。

通过本文介绍的5个实战场景和优化策略，你应该能够更加高效地使用Snaffler进行安全评估。无论是快速内部扫描还是深入的红队行动，合理的配置都能让你事半功倍。记得始终遵守法律法规和授权范围，仅在合法授权的环境中使用这些技术。🔒

【免费下载链接】Snafflera tool for pentesters to help find delicious candy, by @l0ss and @Sh3r4 ( Twitter: @/mikeloss and @/sh3r4_hax )项目地址: https://gitcode.com/gh_mirrors/sn/Snaffler