Volatility安装mimikatz
在做内存取证的时候,有时候我们会想要得到Administrator的密码,这个时候我们可能会用hashdump命令:
volatility -f xxxx.vmem --profile=Win7SP1x64 hashdump但是有时候这个命令并不是万能的,比如OtterCTF 某题,出来的结果是这样的:
volatility -f OtterCTF.vmem --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Rick:1000:aad3b435b51404eeaad3b435b51404ee:518172d012f97d3a8fcc089615283940:::拿出任何一个去解都是空密码,因为这个题是两段hash,后面的没有出来,所以hashdump无法成功,这个时候就要用到Volatility里面的一个插件mimikatz,但是这个插件不是自带的,需要自己安装,这里给出安装过程。
首先进入Volatility的插件目录下
cd /usr/lib/python2.7/dist-packages/volatility/plugins/把mimikatz.py这个文件复制到前面的目录下(最后有个点表示当前目录不要漏了)
sudo cp ~/桌面/mimikatz.py .链接:https://pan.baidu.com/s/1T5kZ_irc0xMuF7TmBGd26g 提取码:f36w 这是mimikatz.py文件
然后设置一下文件夹的权限
sudo chmod 777 * -R然后mimikatz插件得依赖construct库,我们先卸载
sudo pip uninstall construct然后再安装construct库
sudo pip install construct==2.5.5-reupload最后检验一下
volatility -f xxx.raw --profile=Win7SP1x64 mimikatz
image-20200809213515456
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-08-09,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
