DUMP DE MEMÓRIA & TOOLS PASSWORD CRACKER

————————-[ – ]
1 – Explicando ferramentas de dump de memoria
____ 1.1 – Volatitity
____ 1.2 – DumpIt
____ 1.3 – LiME
2 – Volatitity e alguns comandos
____ 2.1 – imageinfo
____ 2.2 – hivelist
____ 2.3 – hashdump
____ 2.4 – psscan
3 – Dicas ferramentas crack password
____ 3.1 – john the ripper
____ 3.2 – hashcat
____ 3.3 – ophcrack
————————-[ – ]

____ ____ ↓

› › › 1 – Explicando ferramentas de dump de memoria

1.1 – Volatitity[1]: ferramenta escrita em python para extrair imagens voláteis dos discos em memoria RAM

1.2 – DumpIt[2] : também age da mesma forma extraindo o dump completo da memoria RAM,o despejo de memória será um pouco maior do que o tamanho de sua memória RAM instalada, se sua máquina te 4 GB de RAM irá produzir cerca de um arquivo de 5 GB.

C:\Program Files\dump_men> Dumplt.exe

1.3 – LiME[3]: também tem esse mesmo principio utilizado em GNU/Linux e Android

Os analistas de malware usam dump de memória em suas engenharia reversa de softwares maliciosos com isso podem analisar depois como os processos foram executados na maquina, quais redes teve acesso ao host, senhas e outras informações triviais.

› › › 2 – Volatitity E Alguns Comandos

2.1 – imageinfo

Usando o voltatitity para determinar algumas infos do sistema, mais comandos[0][6] :

volatility imageinfo -f nome_arquivo.raw

O volatitity nos informa que o SO rodando ali é o Win7SP1x86 , podemos tomar como prova executando o “systeminfo”

2.2 – hivelist

Nós agora vamos listar onde esta os itens mais importantes localizados no dump de memória. Em seguida, vamos extrair os hashes da com esse mesmo dump senha do despejo de memória. Para fazer isso, precisamos saber alguns locais de memória é onde estão as chaves de SAM.

volatility hivelist -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

2.3 – hashdump

Olhamos no despejo acima e anote os números da primeira coluna que correspondem a SYSTEM e ao SAM . Em seguida, a depois redirecionamos a saída do hashes da senhas em um arquivo .txt

volatility.exe hashdump -f nome_arquivo.raw –profile=Win7SP1x86 -y 0x8781a250 -s 0x8ca0089d0 > saida.txt
** dois traços antes profile

2.4 – psscan

Enumera os processos

volatility.exe psscan -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

› › › 3 – Dicas ferramentas crack password

Se você estiver usando senhas de 14 caracteres (senhas LM), você pode executá-los através de um cracker de senha como John the Ripper, Ophcrack, hashcat, pwdump7,caim, ophcrack, ou ainda pode usar cracking onlines, podemos usar Rainbow tables do Ophcrack de 7,5 GB[4]

3.1- John the Ripper: pode ser baixado[5]
john ./saida.txt –format=nt –wordlist=/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de format e wordlist

3.2 – Hashcat : Se encontra no diretório pentest/passwords/hashcat

–hash-mode=NUM number of hash-mode
0 = MD5 200 = MySQL
1 = md5($pass.$salt) 300 = MySQL4.1/MySQL5
2 = md5($salt.$pass) 400 = MD5(WordPress)
3 = md5(md5($pass)) 400 = MD5(phpBB3)
4 = md5(md5(md5($pass))) 500 = MD5(Unix)
5 = vBulletin v3.8.5
30 = md5($username.0.$pass)
31 = md5(strtoupper(md5($pass)))
100 = SHA1 1400 = SHA256
101 = sha1($pass.$salt) 1600 = MD5(APR)
102 = sha1($salt.$pass) 1700 = SHA512
103 = sha1(sha1($pass)) 1800 = SHA-512(Unix)
104 = sha1(sha1(sha1($pass)))
105 = sha1(strtolower($username).$pass)

root@bt:# ./hashcat-cli32.bin –hash-mode 105 /root/hash
/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de hash

3.3- Ophcrack:

-g = disable gui
-d = the directory with the rainbow tables
-t = the tables to use
-f = the file with the hashes

root@bt:# ophcrack -g -d ./download/ rainbow/tables/ -t ./download/tables/ -f /admin/ hashes /test-list.txt

ate o próximo tópico =)

Referências:

[0] Comandos volatility
[1] https://code.google.com/p/volatility/
[2] http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
[3] https://github.com/504ensicsLabs/LiME
[4] http://ophcrack.sourceforge.net/tables.php
[5] http://www.backtrack-linux.org/wiki/index.php/JTR_cluster
[6] https://code.google.com/p/volatility/wiki/CommandReference23

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s