文章总结： 本文介绍红队工具PCredz，可从网络流量或pcap文件中提取NTLM、Kerberos等凭据，输出格式兼容hashcat。文章演示了工具的安装及运行方式，强调了结合tcpdump进行离线分析的隐蔽性，适用于老旧网络环境下的凭据窃取与横向移动。 综合评分： 89 文章分类： 红队,内网渗透,安全工具

密码破解：使用 PCredz 窃取凭据

TtTeam

2026年1月17日 02:54 海南

本文将介绍另一款可助力红队演练的工具 – PCredz。该工具是一款功能强大的凭证提取工具，核心功能为从网络流量中提取各类敏感信息。

根据项目官方文档说明，PCredz 支持从 pcap 数据包文件或实时网络接口中，提取信用卡号、NTLM 凭证、Kerberos 哈希值、HTTP 认证数据、SNMP 团体字符串，以及 POP、SMTP、FTP、IMAP 等协议的敏感凭据，且同时兼容 IPv4 与 IPv6 两种网络协议。

工具提取的所有哈希值，均采用 hashcat 可直接调用的格式进行输出。例如，针对 Kerberos 哈希可匹配 hashcat 7500 破解模式，NTLMv1 哈希对应 5500 模式，NTLMv2 哈希则适配 5600 模式。此外，PCredz 会将所有提取到的敏感信息自动汇总记录至 CredentialDump 文件，并完成格式规整处理，便于使用者直接将该文件导入后续的凭据破解工作流程。

假设您已经成功入侵了网络。此时，您的目标之一通常是横向移动、提升权限并获取更敏感的资源。网络流量往往蕴藏着许多有价值的信息，尤其是在加密未强制执行或仍使用旧协议的环境中。当您想要分析捕获的数据包或静默监听流经接口的实时流量时，PCredz 将非常有用。如果用户正在对文件共享、Web 界面、旧版应用程序、电子邮件系统或网络服务进行身份验证，您可能会发现可用的凭据。这在老旧网络或混合环境中尤为常见，因为并非所有服务都通过 HTTPS 或现代身份验证运行。

蓝队在入侵评估过程中也会使用 PCredz 来检测网络内部不安全的身份验证流程。但在红队演练中，它能帮助你更悄无声息地推进，避免发出嘈杂的攻击声。

运行 PCredz 主要有两种方式：在 Docker 容器内运行，或直接通过 Linux 控制台运行。本次演示我们将使用控制台。在系统存在安全漏洞或脆弱的机器上工作时，务必小心谨慎，避免破坏任何组件。很多时候，您会遇到业务仍然依赖的旧生产服务器。出于运行安全和稳定性的考虑，隔离工具会更加安全。一个很好的方法是创建一个独立的 Python 3 虚拟环境，专门用于运行 PCredz。

以下是如何创建并激活独立的 Python 3 环境：

bash# > python3 -m venv pcredz; source pcredz/bin/activate

安装依赖项：

bash# > apt install python3-pip && sudo apt install libpcap-dev && sudo apt install file && pip3 install Cython && pip3 install python-libpcap

要以实时模式运行该工具并捕获凭据，请使用：

您可以通过运行命令查看网络接口名称ifconfig。有时您会看到多个接口，需要选择正确的接口。为了减少干扰，请尝试选择位于私有 IP 地址范围内的接口。否则，您最终可能会得到大量随机的互联网扫描流量。许多自动化脚本会不断探测 IP 地址范围以寻找薄弱环节，这些垃圾流量会污染您的 pcap 文件，使其体积过大。

如果您决定离线使用 pcap 文件，第一步通常是将捕获的文件传输到您控制的机器上。例如，您可以使用 scp 命令将文件传输到 VPS：

bash#  > scp file.pcap root@IP:/tmp

然后，在分析单个文件时，您可以像这样以离线模式运行 PCredz：

bash# > python3 ./Pcredz -f file.pcap

或者在分析整个 pcap 文件目录时：

bash# > python3 ./Pcredz -d /tmp/pcap-directory-to-parse/

这种方法在你想保持低调的时候尤其好用。你可以用 tcpdump 收集流量，把文件导出，然后在自己的系统上进行分析。

PCredz 是一款简单易用的工具。您可以在不中断生产系统或触发中继等恶意身份验证攻击的情况下收集凭据。在红队演练中，一种非常隐蔽的方法是使用 tcpdump 捕获网络流量，将 pcap 文件导出到您的控制机器，然后在该机器上运行 PCredz。如果您成功攻破文件服务器或其他许多 Windows 机器所依赖的系统，该工具将尤其有效。这些机器会不断接收来自用户的身份验证流量，这意味着您迟早会捕获到一些有价值的信息。一旦获得有效的凭据，许多新的途径便会打开。您可以提升权限、导出 LSASS、安排恶意证书请求，或者通过合法机制冒充特权帐户。您甚至经常会看到以明文形式存在的 HTTP 流量，其中多个服务都在重复使用相同的 Active Directory 凭据。凭据重用在现实世界中仍然非常普遍。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《密码破解：使用 PCredz 窃取凭据》