2026-01-22 00:38:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： PCredz是lgandx开源的轻量级Python工具，专注从实时或离线pcap流量中自动提取HTTP、SMB/NTLM、Kerberos、FTP等十余种协议的明文密码与哈希，输出标准格式便于红队后续利用；支持虚拟环境一键部署、双模式运行，实战可快速发现内网弱口令与横向凭证。 综合评分： 82 文章分类： CTF,渗透测试,红队,内网渗透,安全工具

cover_image

CTF利器 PCredz：在流量包中便捷抓取凭据哈希和密码

原创

网安武器库网安武器库

网安武器库

2026年1月21日 21:23 湖南

更多干货点击蓝字关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·CF-Hero：尝试发现受Cloudflare CDN保护的网站真实IP

·Yakit：一款集成的强大黑客工具（抓包，中间人劫持，漏洞利用）

·在Kali上部署HexStrike Ai：让Ai用kali进行全自动渗透测试和CTF解题

·近期你还有这些CTF比赛可以参加

·针对 Oracle WebLogic 中间件的一体化渗透测试工具：WeblogicTool

·SpringBoot-Scan：针对Spring Boot的漏洞扫描和渗透工具

概述

PCredz是一款专注于网络层面凭据提取与分析的渗透测试工具，由知名安全研究人员lgandx开发并维护。该工具设计初衷是为红队演练和渗透测试人员提供高效的凭据收集能力，特别擅长从网络流量中提取各类认证信息。

作为一款专为渗透测试和红队演练设计的开源凭据提取工具，其主要功能是从网络流量中捕获和分析各类认证凭据。该工具支持离线pcap文件分析以及实时网络流量监控两种工作模式，能够有效识别多种协议中的敏感信息泄露问题。

PCredz属于网络流量分析工具范畴，与Wireshark等通用抓包工具相比，它更加专注于凭据数据的自动化提取和格式化。在MITRE ATT&CK框架中，其功能对应”网络嗅探”（T1040）和”凭证访问”（T1555）等战术。

核心特性具有以下几点：

双模运行：支持实时流量监控和离线pcap文件分析

协议覆盖广：涵盖从传统协议到现代认证机制的多种凭据类型

输出标准化：所有输出均采用行业标准格式，便于后续处理

轻量级设计：基于Python开发，依赖少，部署灵活

安装介绍

这里需要用到虚拟环境，建议将虚拟环境与项目所在文件夹分开处理，更为方便管理。

这里使用的是终端为Ubuntu，并在Linux操作系统下进行。

安装必要的系统库：这主要是libpcap，它是Linux上网络抓包的基础：

# 更新系统包管理器sudo&nbsp;apt update# 基础编译工具和Gitsudo&nbsp;apt install -y git build-essential# Python3和pip（如果未安装）sudo&nbsp;apt install -y python3 python3-pip# libpcap开发库（PCredz抓包核心依赖）sudo&nbsp;apt install -y libpcap-dev# Python虚拟环境支持sudo&nbsp;apt install -y python3-venv

在目标地址下创建管理项目和环境的文件夹：

# 创建主工作目录（所有工具都放这里）mkdir&nbsp;-p web_protect# 创建两个子目录（环境和项目分开）mkdir&nbsp;-p web_protect/envsmkdir&nbsp;-p web_protect/tools

然后进入projects目录下载PCredz源代码：

cd&nbsp;~/web_protect/toolsgit&nbsp;clone&nbsp;https://github.com/lgandx/PCredz.git

检查是否下载成功：

cd&nbsp;PCredz/ls

可以看到：

然后创建PCredz专用虚拟环境。

cd&nbsp;~/web_protect&nbsp;# 回到主工作目录python3 -m venv envs/pcredz_env&nbsp;# 创建名为"pcredz_env"的虚拟环境

下一步激活环境：

cd&nbsp;envssource&nbsp;pcredz_env/bin/activate

可以看到出现前缀：

这样就代表激活成功了，然后我们就可以安装依赖包：

cd&nbsp;pcredz_env/pip install Cython python-libpcap scapypip3 install pcapy-ng

然后可以运行项目查看帮助信息：

python3&nbsp;Pcredz -h

可以看到：

这样，项目就安装成功了，可以正常使用。

功能介绍

PCredz 是一款专注于网络层凭据提取的专业安全工具。它将繁琐的网络流量分析自动化，像筛子一样从海量数据包中过滤出各种认证信息。

具体核心功能如下：

多协议凭据提取

PCredz支持十多种常见协议，是名副其实的“协议解码器”：

双模式工作引擎

离线分析模式：分析已有的 .pcap 抓包文件，无风险、可重复，适合取证和深度分析。

实时监控模式：监听指定网卡，即时发现流经的凭据，适合探测当前网络活动。

实时监控模式：

基础命令结构为：

python3 Pcredz -i&nbsp;[网卡名称]&nbsp;[通用选项]&nbsp;[过滤选项]

首先我们要有管理员/root权限，然后再开始使用：

# 切换到root用户sudo&nbsp;susource&nbsp;~/venv/bin/activatepython3 Pcredz -i [网卡名] [其他参数]

然后确认正确的网卡名称：

# 查看所有可用网卡ip&nbsp;link&nbsp;show
# 或使用ifconfig（需先安装net-tools）sudo&nbsp;apt install net-toolsifconfig
# 常见网卡命名：# eth0, eth1 - 有线以太网# wlan0, wlp2s0 - 无线网卡# lo - 本地回环

如图是我的网卡展示：

然后可以对相应网卡执行监控：

python3 Pcredz -i&nbsp;eth0

可以看到，“Live capture on eth0”证明监控已经开始，当有流量经过的时候便可以看到监控信息，如下所示。

还可以添加参数增加详细输出：

python3 Pcredz -i&nbsp;wlan0 -v -t

如果我对本地进行监控，当本地接口上有数据传输时，会读取到信息：

&nbsp;# 终端一启动对本地接口的监控&nbsp;&nbsp;python3&nbsp;Pcredz -i eth0

# 终端2：启动一个需要登录的本地网站python3&nbsp;-m http.server --directory /tmp&nbsp;8080&nbsp;&

# 终端3：用Basic认证访问curl&nbsp;-u admin:password123 http://localhost:8080

于是我们在终端一的监控中看到如下信息：

监控到了接口信息以及登录的密码。

离线分析模式：

如果想使用离线分析，要先将捕获的文件传输到机器上，生成pcap文件，然后就可以以离线模式运行PCredz：

# 基本分析python3 Pcredz&nbsp;-f&nbsp;capture.pcap
# 详细分析（看到处理过程）python3 Pcredz&nbsp;-f&nbsp;capture.pcap&nbsp;-v
# 带时间戳的分析python3 Pcredz&nbsp;-f&nbsp;capture.pcap&nbsp;-t&nbsp;-o&nbsp;results/
# 输出结果：# [2024-03-20 14:30:22] [HTTP Basic] http://intranet/login : admin:Pass123# [2024-03-20 14:31:15] [FTP] ftp://192.168.1.100:21 : backup:Backup2024

或者可以批量分析目录：

# 分析目录下所有pcap文件python3 Pcredz -d ./network_logs/
# 递归分析子目录python3 Pcredz -d /var/log/pcaps/ --recursive
# 结果会自动汇总

总的来说，PCredz会对特定端口产生的流量进行监控，而当你的电脑进行任何网络操作时，就会产生流量，比如：浏览网页、发送微信/邮件、下载文件、甚至系统自动更新。PCredz 不监控所有内容，它只专注寻找认证凭据，也就是上面第一点提到的，而忽视普通网页内容、图片、视频、聊天文字、文件数据（除非包含密码）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库网安武器库网安武器库《CTF利器 PCredz：在流量包中便捷抓取凭据哈希和密码》