后渗透半自动化侦察工具 ATAttack

1、系统驱动器、主机版本信息获取,当前系统进程识别，判断是否存在杀软av进程2、单机所有用户以及当前用户RDP远程连接导出3、当前系统已安装程序列表获取 ,4、在当前用户文件夹下查找指定文件，如word、pdf、txt、csv等敏感数据

1、基于提取系统远程连接记录，如：远程桌面，arp缓存，windows系统日志(4624、4625)等（浏览器浏览记录、单机系统记录，系统登录日志记录筛选提取IP）2、主流浏览器浏览记录提取，通过位操作符判断筛选私有地址去重划分网段。

1、注册表存储sam提取 %SystemRoot%system32configsam；2、使用comsvcs.dll 中MiniDump 函数 dump指定lsass进程；4、通过netsh 导出系统 wifi密码[暂时删除]、Windows Vaults 普通 / WEB 凭据提取；5、主流浏览器存储密码在线|离线模式解密,目前覆盖chrome、360chrome、ie,fiefoxfiefox浏览器解密基于key3.db、key4.db，logins.json文件；6、第三方主机软件 ，如 Navicat、Putty ,foxmail在线解密 [未完成]

1、探测网段存活，如存活则识别对应windows系统操作版本2、如系统版本为windows系统，则检测是否存在永恒之蓝漏洞3、基于解密出的ntlmhash，对存活主机进行pth哈希传递攻击，执行回显命令。4、如系统为linux则对ssh端口服务进行探测，并进行爆破ssh弱口令。

1、系统所安装的浏览器浏览历史记录，暂命名为update.log2、系统所搜索的敏感数据文件存储，暂命名为drive.txt3、通过提取lsass进程所保存的内存文件，暂命名为lsass.dmp4、内网主机所识别对应的windows版本，归属于工作组或域主机信息，暂命名为host.txt