Forzar volcado de memoria en Windows

  • 7 Respuestas
  • 2521 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado banderas20

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Forzar volcado de memoria en Windows

  • en: Abril 29, 2018, 04:42:58 pm
Buenas,

estoy haciendo prácticas, y tengo acceso a un Windows 2003 Server desde Kali con meterpreter. Quiero generar un volcado de  memoria para poder analizarlo, pero no sé cómo hacerlo. Ni vía meterpreter ni vía consola de comandos de DOS.

¿Alguna idea?

Gracias!

Desconectado roadd

  • *
  • Underc0der
  • Mensajes: 118
  • Actividad:
    0%
  • Reputación 2
  • Skype: [email protected]
  • Twitter: @RoaddHDC
    • Ver Perfil
    • Hacking Desde Cero By Roadd Dogg

Re:Forzar volcado de memoria en Windows

  • en: Abril 29, 2018, 06:19:36 pm
Buenas banderas20!

Te recomiendo https://github.com/doudou/memdump (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas
Web: www.hackingdesdecero.org
Igm: /secureart
Telegram: @roaddhdc
Correo: [email protected]
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: www.youtube.com/channel/UCx8hRcHzHboIjpyfCWz_W_w

Desconectado banderas20

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Forzar volcado de memoria en Windows

  • en: Abril 30, 2018, 02:48:17 am
Buenas banderas20!

Te recomiendo https://github.com/doudou/memdump (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas

Buenas!

Había leído por algún lado lo del "run memdump". A ver si soy capaz de instalarlo, porque no estoy muy acostumbrado a tocar cosas de meterpreter.

¿Cuando ejecute el "run memdump",el volcado se realiza en la máquina vícticma y luego me lo tengo que traer a Kali? ¿O se vuelca a Kali directamente?

Muchas gracias!

Desconectado roadd

  • *
  • Underc0der
  • Mensajes: 118
  • Actividad:
    0%
  • Reputación 2
  • Skype: [email protected]
  • Twitter: @RoaddHDC
    • Ver Perfil
    • Hacking Desde Cero By Roadd Dogg

Re:Forzar volcado de memoria en Windows

  • en: Mayo 01, 2018, 04:48:59 am
No te quiero spoilear. Primero intenta, toca y luego si tenes dudas vuelve a preguntar!  ;D
Web: www.hackingdesdecero.org
Igm: /secureart
Telegram: @roaddhdc
Correo: [email protected]
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: www.youtube.com/channel/UCx8hRcHzHboIjpyfCWz_W_w

Desconectado banderas20

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Forzar volcado de memoria en Windows

  • en: Mayo 01, 2018, 07:24:05 am
Buenas.

No he tocado Ruby en mi vida, así que lo he instalado con gem install memdump.

Si hago locate memdump, me sale

Código: [Seleccionar]
/usr/lib/python2.7/dist-packages/volatility/plugins/mac/memdump.py
/usr/lib/ruby/vendor_ruby/rex/peparsey/pe_memdump.rb
/usr/sbin/memdump
/usr/share/doc/memdump
/usr/share/doc/memdump/README
/usr/share/doc/memdump/changelog.Debian.amd64.gz
/usr/share/doc/memdump/changelog.Debian.gz
/usr/share/doc/memdump/copyright
/usr/share/framework2/tools/README.memdump
/usr/share/framework2/tools/memdump.c
/usr/share/framework2/tools/memdump.exe
/usr/share/man/man1/memdump.1.gz
/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
/usr/share/metasploit-framework/vendor/bundle/ruby/2.3.0/gems/rex-bin_tools-0.1.4/lib/rex/peparsey/pe_memdump.rb
/var/lib/dpkg/info/memdump.list
/var/lib/dpkg/info/memdump.md5sums

¿Voy bien?

No entiendo el link de dónde a dónde ha de apuntar.

Gracias!

Desconectado roadd

  • *
  • Underc0der
  • Mensajes: 118
  • Actividad:
    0%
  • Reputación 2
  • Skype: [email protected]
  • Twitter: @RoaddHDC
    • Ver Perfil
    • Hacking Desde Cero By Roadd Dogg

Re:Forzar volcado de memoria en Windows

  • en: Mayo 01, 2018, 03:26:23 pm
Creo que se instalo donde debia y no necesitas hacer un link por esto

Citar
/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
Web: www.hackingdesdecero.org
Igm: /secureart
Telegram: @roaddhdc
Correo: [email protected]
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: www.youtube.com/channel/UCx8hRcHzHboIjpyfCWz_W_w

Desconectado Anonima

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Forzar volcado de memoria en Windows

  • en: Mayo 03, 2018, 02:15:00 pm
saludos puedes probar volatility  https://github.com/volatilityfoundation/volatility muy bueno  :)

Desconectado banderas20

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Forzar volcado de memoria en Windows

  • en: Mayo 07, 2018, 10:20:26 am
saludos puedes probar volatility  https://github.com/volatilityfoundation/volatility muy bueno  :)

Precisamente uso Volatility para analizar un volcado de memoria. ¿También sirve para hacer el volcado? ¿Cómo se hace?

Gracias!