深入理解Snaffler规则引擎如何自定义分类器提升检测效率【免费下载链接】Snafflera tool for pentesters to help find delicious candy, by l0ss and Sh3r4 ( Twitter: /mikeloss and /sh3r4_hax )项目地址: https://gitcode.com/gh_mirrors/sn/SnafflerSnaffler是一款专为渗透测试人员和红队设计的强大工具它通过智能规则引擎在庞大的Windows/AD环境中高效地寻找敏感凭证和配置文件。这款嗅探工具的核心优势在于其高度可定制的规则系统允许用户根据具体需求调整检测策略从而显著提升检测效率和准确性。本文将深入解析Snaffler的规则引擎工作原理并指导您如何自定义分类器来优化检测效果。 Snaffler规则引擎架构解析Snaffler的规则引擎采用分层分类器设计整个检测流程分为四个主要阶段1. 共享枚举阶段 (ShareEnumeration)此阶段负责发现网络中的文件共享资源。规则文件如Snaffler/SnaffRules/DefaultRules/ShareRules/Keep/KeepDollarShares.toml定义了哪些共享需要重点关注。2. 目录枚举阶段 (DirectoryEnumeration)在找到共享后Snaffler会遍历目录结构。路径规则如Snaffler/SnaffRules/DefaultRules/PathRules/Discard/DiscardWinSystemDirs.toml可以排除不必要的系统目录避免浪费时间在无价值的路径上。3. 文件枚举阶段 (FileEnumeration)这是规则引擎的核心环节Snaffler会检查每个文件的扩展名、文件名和路径。例如Snaffler/SnaffRules/DefaultRules/FileRules/Discard/DiscardByFileExtension.toml规则会丢弃所有图片、字体等非敏感文件扩展名。4. 内容枚举阶段 (ContentsEnumeration)对于通过前三个阶段筛选的文件Snaffler会深入检查文件内容寻找敏感信息。规则如Snaffler/SnaffRules/DefaultRules/FileRules/Keep/Code/CSharpAndASP/KeepCSharpDbConnStrings.toml专门用于检测C#代码中的数据库连接字符串。Snaffler在实际环境中的运行界面展示了AD信息收集、共享枚举和敏感文件检测的全过程️ 规则链Snaffler的智能检测机制Snaffler最强大的功能之一是规则链Rule Chains它允许创建复杂的检测逻辑。规则链通过Relay操作将文件从一个规则传递到另一个规则实现多层次筛选。规则链示例分析查看Snaffler/SnaffRules/DefaultRules/FileRules/Keep/Code/CSharpAndASP/RelayCSharpByExtension.toml文件我们可以看到典型的规则链配置[[ClassifierRules]] EnumerationScope FileEnumeration RuleName RelayCSharpByExtension MatchAction Relay RelayTargets [KeepCSharpDbConnStringsYellow, KeepCSharpDbConnStringsRed, KeepCSharpViewstateKeys, KeepAwsKeysInCode, KeepInlinePrivateKey, KeepPassOrKeyInCode, KeepSlackTokensInCode, KeepSqlAccountCreation, KeepDbConnStringPw, KeepCSharpDbConnStringsRed, KeepCSharpDbConnStringsYellow] Description Files with these extensions will be searched for CSharp and ASP.NET related strings. MatchLocation FileExtension WordListType Exact WordList [.aspx, .ashx, .asmx, .asp, .cshtml, .cs, .ascx, .config] Triage Green这个规则的工作原理是首先匹配所有C#和ASP.NET相关文件扩展名将匹配的文件传递给多个内容检查规则每个后续规则专注于特定类型的敏感信息检测Snaffler日志条目的详细解析展示了时间戳、Triage级别、匹配规则、权限状态和文件路径等关键信息 自定义分类器实战指南1. 创建自定义规则文件您可以在任何目录创建.toml格式的规则文件然后使用-p参数指定规则目录Snaffler.exe -s -o results.log -p C:\custom\rules2. 基本规则结构每个规则都遵循相同的结构核心字段包括EnumerationScope: 规则应用的阶段ShareEnumeration, DirectoryEnumeration, FileEnumeration, ContentsEnumerationRuleName: 规则唯一标识符MatchAction: 匹配后的操作Discard, Snaffle, Relay, CheckForKeysMatchLocation: 匹配位置FileName, FileExtension, FilePath, FileContentAsStringWordListType: 匹配类型Exact, Contains, Regex, EndsWith, StartsWithTriage: 严重级别Black, Red, Yellow, Green3. 实战示例检测自定义配置文件假设您需要检测特定应用程序的配置文件可以创建如下规则[[ClassifierRules]] EnumerationScope FileEnumeration RuleName CustomAppConfigRelay MatchAction Relay RelayTargets [CustomAppSensitiveData] Description Find custom application config files MatchLocation FileName WordListType Contains WordList [app.config, settings.json, config.ini] Triage Yellow [[ClassifierRules]] RuleName CustomAppSensitiveData EnumerationScope ContentsEnumeration MatchAction Snaffle MatchLocation FileContentAsString WordListType Regex WordList [api[_-]?key\\s*[:]\\s*[\][A-Za-z0-9]{20,}[\], secret[_-]?key\\s*[:]\\s*[\][A-Za-z0-9]{20,}[\], database[_-]?password\\s*[:]\\s*[\].{8,}[\]] Triage Red4. 优化性能的技巧使用Discard规则排除常见干扰在规则链前端添加Discard规则快速排除大量无关文件合理使用Triage级别Black级别用于最高优先级发现Green用于低优先级项目避免过度复杂的正则表达式在大型环境中正则表达式会被执行数百万次性能影响显著 高级规则配置技巧1. 基于文件大小的筛选Snaffler支持基于文件大小的规则这在处理大型环境时特别有用[[ClassifierRules]] EnumerationScope FileEnumeration RuleName SkipLargeFiles MatchAction Discard MatchLocation FileLength MatchLength 104857600 # 100MB Description Skip files larger than 100MB Triage Green2. 证书私钥检测Snaffler内置了证书解析功能可以自动检测包含私钥的证书文件[[ClassifierRules]] EnumerationScope FileEnumeration RuleName CheckCertForPrivateKeys MatchLocation FileExtension WordListType Exact WordList [.der, .pfx, .p12] MatchAction CheckForKeys Triage Red3. 多级规则链优化创建高效的规则链可以显著提升检测速度# 第一级快速文件扩展名筛选 [[ClassifierRules]] EnumerationScope FileEnumeration RuleName FastExtensionFilter MatchAction Relay RelayTargets [ContentAnalysisStage] MatchLocation FileExtension WordListType Exact WordList [.config, .xml, .json, .yaml, .yml] Triage Green # 第二级内容深度分析 [[ClassifierRules]] RuleName ContentAnalysisStage EnumerationScope ContentsEnumeration MatchAction Snaffle MatchLocation FileContentAsString WordListType Contains WordList [password, secret, token, key] Triage RedSnaffler对词表的依赖以幽默方式呈现强调了词表在模式匹配中的核心作用 配置文件生成与调优Snaffler提供了强大的配置生成功能您可以使用-z generate参数生成完整的配置文件Snaffler.exe -s -o snaffler.log -v trace -i \\server\share -p C:\custom\rules -z generate生成的配置文件包含所有可调参数您可以在example-config.toml中查看完整的配置选项。关键性能参数包括FileThreads: 文件扫描线程数建议50MaxFileQueue: 最大文件队列大小默认200,000MaxSizeToGrep: 最大文件内容扫描大小默认500KBInterestLevel: 兴趣级别过滤0-3数字越大过滤越严格 性能监控与优化建议1. 日志级别调优使用不同的日志级别控制输出详细程度Data: 仅显示结果Info: 默认级别显示基本操作信息Debug: 显示调试信息Trace: 极度详细用于问题排查2. 线程配置优化根据目标环境规模调整线程设置ShareThreads 30 # 共享发现线程 TreeThreads 20 # 目录遍历线程 FileThreads 50 # 文件扫描线程最重要3. 规则测试与验证创建测试目录结构使用-i参数针对特定路径测试规则Snaffler.exe -s -i C:\test\data -p C:\custom\rules -v debug 最佳实践总结渐进式规则开发从简单规则开始逐步增加复杂度环境适配根据目标环境特点定制规则企业环境 vs. 开发环境定期更新词表保持敏感模式词表的时效性性能监控在大规模扫描时监控内存和CPU使用情况结果验证定期审查检测结果调整误报和漏报规则通过深入理解Snaffler的规则引擎架构您可以创建高度针对性的检测规则显著提升在复杂环境中的敏感信息发现能力。无论是检测特定应用程序的配置文件还是优化大规模扫描的性能Snaffler的灵活规则系统都为您提供了强大的定制能力。记住有效的规则设计需要平衡检测覆盖率和性能开销。通过合理使用规则链、Triage级别和文件大小筛选您可以在保持高性能的同时实现全面的敏感信息检测。现在就开始定制您的Snaffler规则打造专属的渗透测试利器吧【免费下载链接】Snafflera tool for pentesters to help find delicious candy, by l0ss and Sh3r4 ( Twitter: /mikeloss and /sh3r4_hax )项目地址: https://gitcode.com/gh_mirrors/sn/Snaffler创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考