– root@injetionsec:~#

Dump de memória & tools password cracker

04.04.2015 (6:53 pm) – Filed under: Forense ::

————————-[ – ]
1 – Explicando ferramentas de dump de memoria
____ 1.1 – Volatitity
____ 1.2 – DumpIt
____ 1.3 – LiME
2 – Volatitity e alguns comandos
____ 2.1 – imageinfo
____ 2.2 – hivelist
____ 2.3 – hashdump
____ 2.4 – psscan
3 – Dicas ferramentas crack password
____ 3.1 – john the ripper
____ 3.2 – hashcat
____ 3.3 – ophcrack
————————-[ – ]

____ ____

› › › 1 – Explicando ferramentas de dump de memoria

1.1 – Volatitity[1]: ferramenta escrita em python para extrair imagens voláteis dos discos em memoria RAM

1.2 – DumpIt[2] : também age da mesma forma extraindo o dump completo da memoria RAM,o despejo de memória será um pouco maior do que o tamanho de sua memória RAM instalada, se sua máquina te 4 GB de RAM irá produzir cerca de um arquivo de 5 GB.

C:\Program Files\dump_men> Dumplt.exe

1.3 – LiME[3]: também tem esse mesmo principio utilizado em GNU/Linux e Android

Os analistas de malware usam dump de memória em suas engenharia reversa de softwares maliciosos com isso podem analisar depois como os processos foram executados na maquina, quais redes teve acesso ao host, senhas e outras informações triviais.

› › › 2 – Volatitity E Alguns Comandos

2.1 – imageinfo

Usando o voltatitity para determinar algumas infos do sistema, mais comandos[0][6] :

volatility imageinfo -f nome_arquivo.raw

O volatitity nos informa que o SO rodando ali é o Win7SP1x86 , podemos tomar como prova executando o “systeminfo”

2.2 – hivelist

Nós agora vamos listar onde esta os itens mais importantes localizados no dump de memória. Em seguida, vamos extrair os hashes da com esse mesmo dump senha do despejo de memória. Para fazer isso, precisamos saber alguns locais de memória é onde estão as chaves de SAM.

volatility hivelist -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

2.3 – hashdump

Olhamos no despejo acima e anote os números da primeira coluna que correspondem a SYSTEM e ao SAM . Em seguida, a depois redirecionamos a saída do hashes da senhas em um arquivo .txt

volatility.exe hashdump -f nome_arquivo.raw –profile=Win7SP1x86 -y 0x8781a250 -s 0x8ca0089d0 > saida.txt
** dois traços antes profile

2.4 – psscan

Enumera os processos

volatility.exe psscan -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

› › › 3 – Dicas ferramentas crack password

Se você estiver usando senhas de 14 caracteres (senhas LM), você pode executá-los através de um cracker de senha como John the Ripper, Ophcrack, hashcat, pwdump7,caim, ophcrack, ou ainda pode usar cracking onlines, podemos usar Rainbow tables do Ophcrack de 7,5 GB[4]

3.1- John the Ripper: pode ser baixado[5]
john ./saida.txt –format=nt –wordlist=/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de format e wordlist

3.2 – Hashcat : Se encontra no diretório pentest/passwords/hashcat

–hash-mode=NUM number of hash-mode
0 = MD5 200 = MySQL
1 = md5($pass.$salt) 300 = MySQL4.1/MySQL5
2 = md5($salt.$pass) 400 = MD5(WordPress)
3 = md5(md5($pass)) 400 = MD5(phpBB3)
4 = md5(md5(md5($pass))) 500 = MD5(Unix)
5 = vBulletin v3.8.5
30 = md5($username.0.$pass)
31 = md5(strtoupper(md5($pass)))
100 = SHA1 1400 = SHA256
101 = sha1($pass.$salt) 1600 = MD5(APR)
102 = sha1($salt.$pass) 1700 = SHA512
103 = sha1(sha1($pass)) 1800 = SHA-512(Unix)
104 = sha1(sha1(sha1($pass)))
105 = sha1(strtolower($username).$pass)

root@bt:# ./hashcat-cli32.bin –hash-mode 105 /root/hash
/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de hash

3.3- Ophcrack:

-g = disable gui
-d = the directory with the rainbow tables
-t = the tables to use
-f = the file with the hashes

root@bt:# ophcrack -g -d ./download/ rainbow/tables/ -t ./download/tables/ -f /admin/ hashes /test-list.txt

 

ate o próximo tópico =)

 

Referências:

[0] Comandos volatility
[1] https://code.google.com/p/volatility/
[2] http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
[3] https://github.com/504ensicsLabs/LiME
[4] http://ophcrack.sourceforge.net/tables.php
[5] http://www.backtrack-linux.org/wiki/index.php/JTR_cluster
[6] https://code.google.com/p/volatility/wiki/CommandReference23

 

Capturando webcam e microfone com meterpreter

04.04.2015 (1:44 pm) – Filed under: Pentest ::

Galera 2 comandos muito interessante do meterpreter são : webcam_list, webcam_snap, record_mic , em primeiro lugar, é necessário ter uma sessão ativa do meterpreter no host windows.

meterpreter >  webcam_list
Este comando permite que você tenha uma lista de webcams presente no sistema de destino é cada câmera será identificada por um número único.

meterpreter > webcam_snap
Este comando captura uma web cam especificando o numero padrão listado no comando “webcam_list”  por default webcam 1 será usado se nenhum argumento for especificado.

O comando webcam_snap pode ter os seguintes argumentos:
-h:  ajuda.
-i :  identificador exclusivo da webcam para você usar.
-p : O caminho para a captura de imagem .jpeg ,  o padrão é $HOME / [numeroaleatorio] .jpeg
-q : captura JPEG, por default ’50’.
-v : Abrir automaticamente a captura jpeg, por default ‘true’.

meterpreter >  record_mic
Este comando salva o ambiente de som integrado microfone,por padrão apenas um segundo será gravado assim que a gravação acabar ele para automaticamente

O comando record_mic pode ter os seguintes argumentos:
-h: ajuda.
-d : O número em segundos para gravação, o default é 1 segundo.
-f : O caminho de gravação para o arquivo .wav ,  o padrão é $HOME / [numeroaleatorio] .wav
-p :  o arquivo e capturado automaticamente, por default ‘true’.

➦ Se quisermos ver ao vivo o que esta passando na máquina alvo, para isso temos que iniciar o script webcam da shell sem o metasploit e então setar-lo diretamente na sessão:

sessions -i 1 -s webcam -f -p /root/arquivos/

➦ É  possível executar o script diretamente no shell do metasploit o “sound_recorder sem setar diretamente a sessão.

sessions -i 1 -s sound_recorder /arquivos/