Forzar volcado de memoria en Windows

Iniciado por banderas20, Abril 29, 2018, 04:42:58 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Buenas,

estoy haciendo prácticas, y tengo acceso a un Windows 2003 Server desde Kali con meterpreter. Quiero generar un volcado de  memoria para poder analizarlo, pero no sé cómo hacerlo. Ni vía meterpreter ni vía consola de comandos de DOS.

¿Alguna idea?

Gracias!

Buenas banderas20!

Te recomiendo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Igm: /secureart
Telegram: @roaddhdc
Correo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas banderas20!

Te recomiendo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (como instalarlo y los parametros estan todos explicados alli)

Para usarla desde meterpreter te recomiendo hacer un link del script a /meterpreter/scripts/

Una vez ya hecho esto, para ejecutar el script desde meterpreter, desde el prompt

meterpreter>run memdump

Saludos:D Espero que sea lo que buscas

Buenas!

Había leído por algún lado lo del "run memdump". A ver si soy capaz de instalarlo, porque no estoy muy acostumbrado a tocar cosas de meterpreter.

¿Cuando ejecute el "run memdump",el volcado se realiza en la máquina vícticma y luego me lo tengo que traer a Kali? ¿O se vuelca a Kali directamente?

Muchas gracias!

No te quiero spoilear. Primero intenta, toca y luego si tenes dudas vuelve a preguntar!  ;D
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Igm: /secureart
Telegram: @roaddhdc
Correo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buenas.

No he tocado Ruby en mi vida, así que lo he instalado con gem install memdump.

Si hago locate memdump, me sale

Código: php
/usr/lib/python2.7/dist-packages/volatility/plugins/mac/memdump.py
/usr/lib/ruby/vendor_ruby/rex/peparsey/pe_memdump.rb
/usr/sbin/memdump
/usr/share/doc/memdump
/usr/share/doc/memdump/README
/usr/share/doc/memdump/changelog.Debian.amd64.gz
/usr/share/doc/memdump/changelog.Debian.gz
/usr/share/doc/memdump/copyright
/usr/share/framework2/tools/README.memdump
/usr/share/framework2/tools/memdump.c
/usr/share/framework2/tools/memdump.exe
/usr/share/man/man1/memdump.1.gz
/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
/usr/share/metasploit-framework/vendor/bundle/ruby/2.3.0/gems/rex-bin_tools-0.1.4/lib/rex/peparsey/pe_memdump.rb
/var/lib/dpkg/info/memdump.list
/var/lib/dpkg/info/memdump.md5sums


¿Voy bien?

No entiendo el link de dónde a dónde ha de apuntar.

Gracias!

Creo que se instalo donde debia y no necesitas hacer un link por esto

Citar/usr/share/metasploit-framework/scripts/meterpreter/process_memdump.rb
/usr/share/metasploit-framework/tools/memdump
/usr/share/metasploit-framework/tools/memdump/README.memdump
/usr/share/metasploit-framework/tools/memdump/memdump.c
/usr/share/metasploit-framework/tools/memdump/memdump.exe
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Igm: /secureart
Telegram: @roaddhdc
Correo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

saludos puedes probar volatility  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta muy bueno  :)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
saludos puedes probar volatility  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta muy bueno  :)

Precisamente uso Volatility para analizar un volcado de memoria. ¿También sirve para hacer el volcado? ¿Cómo se hace?

Gracias!

Hola!

Estoy realizando una práctica similar de volcado de memoria con una sesión de meterpreter y después de instalar los archivos memdump.rb  y mdd.exe en los correspondientes directorios, en cuanto ejecuto el comando run memdump me aparece el siguiente error:
Código: php
[-] Error running command run: SyntaxError /usr/share/metasploit-framework/lib/rex/script/base.rb:51: syntax error, unexpected '<'
<!DOCTYPE html>
^
/usr/share/metasploit-framework/lib/rex/script/base.rb:52: syntax error, unexpected '<'
<html lang="en" data-color-mod...
^
/usr/share/metasploit-framework/lib/rex/script/base.rb:52: syntax error, unexpected local variable or method, expecting end-of-input
<html lang="en" data-color-mode="auto" data-light...
                ^~~~


¿Alguno sabría darme una pista de lo que sucede?
Gracias de antemano

Agosto 15, 2022, 05:39:13 PM #9 Ultima modificación: Agosto 16, 2022, 01:40:57 AM por DtxdF
@ZeroNet22

Este post es del 2018, es mejor que crees un nuevo post en esta sección con tu duda.

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF