Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


Использование учетных данных,находящихся в файлах и в памяти: PowerMemory

Скачать PowerMemory

PowerMemory является пост эксплуатационным инструментом PowerShell. Он использует исполняемые файлы Microsof и, таким образом, может запуститься, даже после того как были установлены Device Guard Policies. Таким же образом он может обойти обнаружение антивируса. PowerMemory позволяет извлечь информацию об учетных данных и управлять памятью. Он может выполнять шеллкод и модифицировать процесс в памяти (в пользовательских зонах и зонах ядра в качестве руткита) PowerMemory будет получать доступ ко всем пользовательским ресурсам и участкам ядра с помощью доверенного отладчика Microsoft, также известного как cdb.exe, который имеет цифровую подпись.

PowerMemory был протестирован на 2003, 2008r2, 2012, 2012r2 и Windows 7 – 32 и 64 bits, Windows 8 и Windows 10 Home edition.

Свойства PowerMemory:

  • В полной мере поддерживает PowerShell;
  • Может работать локально, удаленно или из файла дампа, собранного на машине;
  • Не использует .dll операционной системы для поиска адреса учетных данных в памяти, а вместо этого пользуется простым отладчиком Microsoft;
  • Не использует операционную систему для дешифровки собранных паролей -> он делает это в PowerShell (AES, TripleDES, DES-X);
  • Взламывает незадокументированный Microsoft DES-X;
  • Работает даже в том случае, когда вы используете архитектуру, отличную от архитектуры цели;
  • Не оставляет никаких следов без запоминания.

Как его использовать на Windows 2012R2 или Windows 10?

1) Получить удаленно:

2) Из дампа: если вам нужно сбросить процесс lsass на целевой машине, вы можете выполнить сценарий с опцией (! назовите ваш lsass дамп «lsass.dmp» и не указывайте имя для опции, которую вы ввели, только для директории !) :

3) Локально:


Codeby Security School от Сodeby

Мы запустили свою онлайн школу по информационной безопасности. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного в курсе Paranoid


Никогда не давайте администратору доступ к своему пользователю

Всегда проверяйте то, что делает ваш сисадмин или провайдер на вашей системе. Для эффективного запуска этого скрипта вам нужно две вещи:

Для эффективного запуска этого скрипта вам нужно:
  • PowerShell 3;
  • Разрешите PowerShell скрипт на вашей машине, например,: Set-ExecutionPolicy Unrestricted –force;
  • Интернет соединение;
  • Скрипт был протестирован на 7 и на 8 компьютерах для извлечения пароля из Windows сервера 2003,2008R2,2012,2012R2,7 и 8 и 10.
Получить локальный пароль администратора из настроек групповой политики

Запустите Get-LocalAdminGPPAccess.ps1 script

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

PenTestKit — набор различных утилит для пров... Что это такое: набор различных утилит (сканеры уязвимости, брутефорсеры, снифферы) для проведения пентестинга занимающий очень мало места на диске....
Pina Colada — мощный расширяемый и беспровод... Мощный расширяемый и беспроводной Drop Box: Pina Colada Pina Colada представляет собой мощный и расширяемый беспроводной drop box, способный выполн...
Parrot Security OS (или ParrotSec) Parrot Security OS (или ParrotSec) - является дистрибутивом GNU / Linux, на основе Debian. Он был спроектирован для того, чтобы выполнять тесты ...
Поиск админок сайтов с Kali Linux... Поиск административной панели довольно важен при проведении аудита сайта. Админку можно: брутфорсить проверять на SQL-инъекции (начинающие п...
За гранью хакерских возможностей — 9... Доброго времени суток колеги) Сегодня продолжим наш завлекательный пентест и возьмем очередной токен от машины на топологии сети с адресом 192.168...