Post

Procdump - Herramienta para volcar memoria

Al trabajar con sistemas Windows, es importante saber que no todo son exploits, y con ello en mente es posible hacer uso de herramientas del propio sistema.

Al trabajar con sistemas Windows, es importante saber que no todo son exploits, y con ello en mente es posible hacer uso de herramientas del propio sistema. En esta ocasión esta herramienta nos va a permitir realizar un volcado de memoria y obeter algunas credenciales.

ProcDump

Sitio de Procdump

El uso de esta herramiente es demasiado sencillo. Con una consola remota (ej. Meterpreter) y el programa en el equipo víctima, es necesario obtener un listado de los programas que estén corriendo en el ordenador. Solo necesitamos el ID del proceso del programa a volcar.

1
    tasklist

Luego de haber localizado el ID deseado, podremos usar el ProcDump para volcar la memoria:

1
    procdump.exe -ma PID

Lo anterior nos generará un archivo .dmp con la información que necesitamos. Una vez se tiene ese archivo, se puede filtrar la información para obtener los datos.

***NOTA: Es posible visualizar el archivo con un editor de texto o con el comando (aplica GNU/Linux):

1
    strings -td [ruta/del/archivo]

Podemos pasar la información del archivo a un archivo de texto para posteriormente analizarlo. Una de las formas es utilizar el ya afamado comando “grep” a fin de filtrar la información. Algo interesante puede ser filtrar por la palabra “Passwd”.

De igual forma su uso no se limita a obtener información comprometedora. Es de igual forma importante cuando se necesita hacer un servicio post-portem (ej. Al buscar la llave de cifrado de un ransomware).

This post is licensed under CC BY 4.0 by the author.