Plugin mimikatz offline para Volatility
Hace tiempo estuvimos probando un extensión de Mimikatz para WinDBG
con la que podíamos extraer las contraseñas de Windows en claro desde
un volcado de memoria, es decir, de modo totalmente off-line. Ahora
podemos hacerlo también directamente desde Volatility gracias a un plugin que ha creado Francesco Picasso de Zena Forensics.
Para probarlo empezaremos obteniendo un volcado de memoria de la máquina de la víctima. En esta ocasión lo haremos mediante Belkasoft Love RAM Capturer, una pequeña herramienta gratuita para obtener el contenido completo de la memoria volatil que incluso incluye medidas contra sistemas anti-debugging y anti-dumping.
Ahora actualizamos el repositorio de Zena Forensic, al que bautizaron hotoloti (git clone https://code.google.com/p/hotoloti/) o descargamos directamente el script en Python mimikatz.py y después lo copiamos en la carpeta de plugins de Volatility.
Probablemente al ejecutar Volatility con este plugin tendrás que instalar algún módulo adicional de Python, en mi caso pycrypto, construct y six.
Finalmente lo ejecutamos y... voilà!
Fuente: HackPlayers
Para probarlo empezaremos obteniendo un volcado de memoria de la máquina de la víctima. En esta ocasión lo haremos mediante Belkasoft Love RAM Capturer, una pequeña herramienta gratuita para obtener el contenido completo de la memoria volatil que incluso incluye medidas contra sistemas anti-debugging y anti-dumping.
Probablemente al ejecutar Volatility con este plugin tendrás que instalar algún módulo adicional de Python, en mi caso pycrypto, construct y six.
Finalmente lo ejecutamos y... voilà!
Fuente: HackPlayers
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!