Plugin mimikatz offline para Volatility

Hace tiempo estuvimos probando un extensión de Mimikatz para WinDBG con la que podíamos extraer las contraseñas de Windows en claro desde un volcado de memoria, es decir, de modo totalmente off-line. Ahora podemos hacerlo también directamente desde Volatility gracias a un plugin que ha creado Francesco Picasso de Zena Forensics.

Para probarlo empezaremos obteniendo un volcado de memoria de la máquina de la víctima. En esta ocasión lo haremos mediante Belkasoft Love RAM Capturer, una pequeña herramienta gratuita para obtener el contenido completo de la memoria volatil que incluso incluye medidas contra sistemas anti-debugging y anti-dumping.

Ahora actualizamos el repositorio de Zena Forensic, al que bautizaron hotoloti (git clone https://code.google.com/p/hotoloti/) o descargamos directamente el script en Python mimikatz.py y después lo copiamos en la carpeta de plugins de Volatility.

Probablemente al ejecutar Volatility con este plugin tendrás que instalar algún módulo adicional de Python, en mi caso pycrypto, construct y six.

Finalmente lo ejecutamos y... voilà!

Fuente: HackPlayers