Sólo texto | Texto con Imágenes

Underc0de

Foros Generales => Dudas y pedidos generales => Mensaje iniciado por: banderas20 en Abril 29, 2018, 04:42:58 PM

Título: Forzar volcado de memoria en Windows
Publicado por: banderas20 en Abril 29, 2018, 04:42:58 PM
Buenas,

estoy haciendo prácticas, y tengo acceso a un Windows 2003 Server desde Kali con meterpreter. Quiero generar un volcado de  memoria para poder analizarlo, pero no sé cómo hacerlo. Ni vía meterpreter ni vía consola de comandos de DOS.

¿Alguna idea?

Gracias!
Título: Re:Forzar volcado de memoria en Windows
Publicado por: roadd en Abril 29, 2018, 06:19:36 PM
Buenas banderas20!

Te recomiendo https://github.com/doudou/memdump (https://github.com/doudou/memdump) (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas
Título: Re:Forzar volcado de memoria en Windows
Publicado por: banderas20 en Abril 30, 2018, 02:48:17 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas banderas20!

Te recomiendo https://github.com/doudou/memdump (https://github.com/doudou/memdump) (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas

Buenas!

Había leído por algún lado lo del "run memdump". A ver si soy capaz de instalarlo, porque no estoy muy acostumbrado a tocar cosas de meterpreter.

¿Cuando ejecute el "run memdump",el volcado se realiza en la máquina vícticma y luego me lo tengo que traer a Kali? ¿O se vuelca a Kali directamente?

Muchas gracias!
Título: Re:Forzar volcado de memoria en Windows
Publicado por: roadd en Mayo 01, 2018, 04:48:59 AM
No te quiero spoilear. Primero intenta, toca y luego si tenes dudas vuelve a preguntar!  ;D
Título: Re:Forzar volcado de memoria en Windows
Publicado por: banderas20 en Mayo 01, 2018, 07:24:05 AM
Buenas.

No he tocado Ruby en mi vida, así que lo he instalado con gem install memdump.

Si hago locate memdump, me sale

Código [Seleccionar]
/usr/lib/python2.7/dist-packages/volatility/plugins/mac/memdump.py
/usr/lib/ruby/vendor_ruby/rex/peparsey/pe_memdump.rb
/usr/sbin/memdump
/usr/share/doc/memdump
/usr/share/doc/memdump/README
/usr/share/doc/memdump/changelog.Debian.amd64.gz
/usr/share/doc/memdump/changelog.Debian.gz
/usr/share/doc/memdump/copyright
/usr/share/framework2/tools/README.memdump
/usr/share/framework2/tools/memdump.c
/usr/share/framework2/tools/memdump.exe
/usr/share/man/man1/memdump.1.gz
/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
/usr/share/metasploit-framework/vendor/bundle/ruby/2.3.0/gems/rex-bin_tools-0.1.4/lib/rex/peparsey/pe_memdump.rb
/var/lib/dpkg/info/memdump.list
/var/lib/dpkg/info/memdump.md5sums

¿Voy bien?

No entiendo el link de dónde a dónde ha de apuntar.

Gracias!
Título: Re:Forzar volcado de memoria en Windows
Publicado por: roadd en Mayo 01, 2018, 03:26:23 PM
Creo que se instalo donde debia y no necesitas hacer un link por esto

Citar/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
Título: Re:Forzar volcado de memoria en Windows
Publicado por: Anonima en Mayo 03, 2018, 02:15:00 PM
saludos puedes probar volatility  https://github.com/volatilityfoundation/volatility muy bueno  :)
Título: Re:Forzar volcado de memoria en Windows
Publicado por: banderas20 en Mayo 07, 2018, 10:20:26 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
saludos puedes probar volatility  https://github.com/volatilityfoundation/volatility muy bueno  :)

Precisamente uso Volatility para analizar un volcado de memoria. ¿También sirve para hacer el volcado? ¿Cómo se hace?

Gracias!
Título: Re: Forzar volcado de memoria en Windows
Publicado por: ZeroNet22 en Agosto 15, 2022, 08:40:21 AM
Hola!

Estoy realizando una práctica similar de volcado de memoria con una sesión de meterpreter y después de instalar los archivos memdump.rb  y mdd.exe en los correspondientes directorios, en cuanto ejecuto el comando run memdump me aparece el siguiente error:
Código [Seleccionar]
[-] Error running command run: SyntaxError /usr/share/metasploit-framework/lib/rex/script/base.rb:51: syntax error, unexpected '<'
<!DOCTYPE html>
^
/usr/share/metasploit-framework/lib/rex/script/base.rb:52: syntax error, unexpected '<'
<html lang="en" data-color-mod...
^
/usr/share/metasploit-framework/lib/rex/script/base.rb:52: syntax error, unexpected local variable or method, expecting end-of-input
<html lang="en" data-color-mode="auto" data-light...
                ^~~~


¿Alguno sabría darme una pista de lo que sucede?
Gracias de antemano
Título: Re: Forzar volcado de memoria en Windows
Publicado por: DtxdF en Agosto 15, 2022, 05:39:13 PM
@ZeroNet22

Este post es del 2018, es mejor que crees un nuevo post en esta sección con tu duda.

~ DtxdF
Sólo texto | Texto con Imágenes