在折腾过程中,我发现自己需要用到volatility 的一款插件,叫做mimikatz,用于破解Windows的密码,我相信很多人Hacker都比较熟悉这个软件,在阅读了原理等信息之后,我发现有人已经写好了Plugin的使用脚本了,可以直接使用了
于是我打算记录一下安装和采坑的经验(虽然我还是没有解出来这个取证的Misc题,菜到抠脚)
Basic Command(基础操作)
1、获取基础信息
volatility --plugins='./volatility/plugins' -f MEMORY.DMP imageinfo
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-1024x189.png)
从上面选择一个Suggested Profiles作为 –profile的参数
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 -h
2、利用filescan和filedump获取文件
// 扫描文件 // 下载文件 volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x00000000236eb5e0 -D ./ -u
3、查看进程
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 pslist
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-1-1024x152.png)
4、查看注册表
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivelist
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-2-1024x348.png)
5、打印注册表中的信息
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivedump -o 注册表的 Virtual 地址 volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivedump -o 0x95c839d0
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-3-1024x172.png)
6、查看SAM表中的用户
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 printkey -K "SAM\Domains\Account\Users\Names"
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-4-1024x251.png)
7、查看最后登录用户
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-5-1024x197.png)
可以看到我这儿最后登录用户是一个叫flag的用户
8、软件运行情况统计
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 userassist
然后我找到了2019年一些软件的运行情况分析
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-6.png)
可以看到 2019-05-15 13:28:34的时候,flag用户竟然打开了这么多软件,是想干嘛,就不能弄简单点吗?
9、dump一个可执行文件(重建一个可执行文件)
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 procdump -D ./output -p 968
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-7-1024x117.png)
Plugins安装
经过一番搜索,我找到了Volatylity 的一个community插件社区,也就是一个Git 仓库,收集整理了一些常用插件,用git工具直接clone下来,以后可能用得上
git clone https://github.com/volatilityfoundation/community.git
然后,找到mimikatz.py 在 /FrancescoPicasso 这个目录下面,
// 创建plugins目录 mkdir -r volatility/plugins // 移动mimikatz.py 到plugins目录 mv community/FrancescoPicasso/mimikatz.py volatility/plugins
其次运行plugins需要安装一下依赖
sudo -H pip install distorm3 pycrypto openpyxl Pillow sudo apt-get install yara
PS:如果仍然报错yara有问题,可以尝试连接yara的so文件到系统
ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so
然后就可以检查plugins是否正常运行
volatility --plugins='./volatility/plugins' --info | grep -i mimikatz
正常的输出应该类似这样,就说明安装基本无问题了
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/YPRK@WI0N1RHEVWM69YN.png)
使用插件破解windows密码
volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP1x86_23418 mimikatz -v
![](http://blog.zklighting.ltd/wp-content/uploads/2019/07/image-8-1024x109.png)
我的DMP文件没办法直接拿到Password,I have no idea how this happened, so I find another file to test my plugin and finally I cracked out windows logon password from offline file.
All Done!
暂无评论