7 Antworten in diesem Thema

[Juri]

Hey,

 

aktuell beschäftige ich mich mit Mimikatz. 

Mit Mimikatz soll es möglich sein das Passwort des angemeldeten Users direkt (plain) aus dem RAM auszulesen.

Ich hab den scheiss aus mir nicht bekannten Gründen nicht zum laufen gebracht ( ). Denke mal es ist nicht mehr aktuell.

 

Durch googeln bin ich auf "PowerMemory" gestoßen. 

Macht seinen Job. Setzt vorher irgendwelche Registry Einträge (oder ändert, kp) und ein Neustart ist nötig. 

Nach dem Neustart ist es möglich das Plain PW auszulesen. (Falls jmd das Tool nutzen will -> bitte auf der VM. Beim ersten Versuch hat er mir irgendwelche Dienste zerschossen, WLAN z.B. war nicht mehr nutzbar. Habe System wiederhergestellt  & bin genau so wie beim ersten Versuch vorgegangen. Beim 2. hats geklappt, ohne irg. welche Dienste zu deaktivieren / beschädigen)

 

 

 

Meine Frage;

Habe verschiedene PowerShell Skripte zu MimiKatz gefunden, die teilweise auch funktionieren. Aber das PW auszulesen hat nicht geklappt.

Hat zufällig jemand ne Idee wie das zu bewerkstelligen wäre? Muss nicht unbedingt MimiKatz sein, hauptsache ein PowerShell Script.

 

Denke mal es ist für jeden interessant.

 

Thx & Grüße

[n1nja]

Wenn die erste Methode funktioniert. Kann man nicht den Pointer auslesen wo sich das PW "versteckt"?!

 

Danach kannst mit RPM auf den Pointer zugreifen und du solltest ein Object erhalten.

 

Hab da aber eher weniger Ahnung, noch kenne ich "Mimikatz" nicht.

[Juri]

Die 2. Methode funktioniert, ist aber ne .exe.

Das Problem ist, dass es Registry-Einträge ändert & ein Neustart erforderlich ist. 

Und das will ich nicht (..also das mit dem Neustart)

[n1nja]

Reicht ein ab und anmelden auch?

[Juri]

Abmelden und Anmelden wäre kein Problem

[nninja]

Mimikatz:

Latest commit

Please Login HERE or Register HERE to see this link!

22 days ago

 

Sollte eigentlich nicht outdated sein

 

Edit:

Funktioniert bei mir auch ohne probleme.

Probie mal das latest release:

Please Login HERE or Register HERE to see this link!

[Juri]

Die Version kenne ich bereits - funktioniert teilweise. kp warum, von 5 PC's hats bei 3 geklappt.

PowerMemory hingegen bei allen 5. 

 

Habs mein Ziel anderweitig erreicht, deshalb danke für die Antworten :-)

Thread kann geschlossen werden.

 

grüße

[Haxlor]

also im meterpeter läuft das ...... get system ... hashdump ....

ließ dir mal Lieber 2 Sachen durch SAM SECURITY SYSTEM FILES unter Windows 

 

UND JETZT DER GEHEIM TIPP 

 

HABT IHR SCHON MAL WAS VON RESPONDER GEHÖRT 

damit fickst du jeden 

mal spaß bei Seite ist seit jahren unschlagbar 

 

Please Login HERE or Register HERE to see this link!

 

 

so aber pssst ne ;-)

 

und wehe ihr Skript kiddies erzählt das wieder euren Pappas bei anitivir dann war das der letzte tipp.. 

 

damit habe ich in einem enterprise firmen Netzwerk alles ausgelesen in Sekunden ..... bam bam