menu L1nearのspace
Volatility安装mimikatz
519 浏览 | 2020-08-09 | 阅读时间: 约 1 分钟 | 分类: | 标签:
请注意,本文编写于 275 天前,最后修改于 196 天前,其中某些信息可能已经过时。

在做内存取证的时候,有时候我们会想要得到Administrator的密码,这个时候我们可能会用hashdump命令:

volatility -f xxxx.vmem --profile=Win7SP1x64 hashdump

但是有时候这个命令并不是万能的,比如OtterCTF 某题,出来的结果是这样的:

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hashdump                                                         
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Rick:1000:aad3b435b51404eeaad3b435b51404ee:518172d012f97d3a8fcc089615283940:::

拿出任何一个去解都是空密码,因为这个题是两段hash,后面的没有出来,所以hashdump无法成功,这个时候就要用到Volatility里面的一个插件mimikatz,但是这个插件不是自带的,需要自己安装,这里给出安装过程。

  1. 首先进入Volatility的插件目录下

    cd /usr/lib/python2.7/dist-packages/volatility/plugins/
  2. mimikatz.py这个文件复制到前面的目录下(最后有个点表示当前目录不要漏了)

    sudo cp ~/桌面/mimikatz.py .

链接:https://pan.baidu.com/s/1T5kZ_irc0xMuF7TmBGd26g
提取码:f36w

这是mimikatz.py文件

  1. 然后设置一下文件夹的权限

    sudo chmod 777 * -R
  2. 然后mimikatz插件得依赖construct库,我们先卸载

    sudo pip uninstall construct
  3. 然后再安装construct

    sudo pip install construct==2.5.5-reupload
  4. 最后检验一下

    volatility -f xxx.raw --profile=Win7SP1x64 mimikatz

知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!