PowerMemory là một tập lệnh mạnh mẽ cho phép người dùng trích xuất và kiểm tra thông tin đăng nhập của người dùng có trong các tập tin và bộ nhớ. Script này được phát triển bởi Pierre-Alexandre Braeken và nó giúp ta lấy Password Login Windows bằng Powershell và CDB (Windows Debuggers).
Các tính năng của PowerMemory
Theo tác giả, tool này hoạt động trên các phiên bản của hệ điều hành Windows, tức là Windows 2003 đến 2012 và cả Windows 10 đều sử dụng được. PowerMomory đã được thử nghiệm thành công trên các phiên bản 2003, 2008r2, 2012, 2012r2 và Windows 7 32/64 bit, Windows 8 và Windows 10 Home. Tool này được viết trên nền PowerShell nên khó bị Antivirus phát hiện .
Hoàn toàn dựa trên PowerShell
Hoạt động trên máy cục bộ, từ xa hoặc từ file kết xuất được thu thập trên máy
Không sử dụng file system .dll để xác minh địa chỉ thông tin đăng nhập trong bộ nhớ mà là bằng Microsoft Debugger
Sử dụng PowerShell (AES, TripleDES, DES-X) để giải mã mật khẩu.
Phá huỷ Microsfot DES-X không có giấy tờ
Hoạt động ngay cả khi bạn đang sử dụng hệ điều hành khác với victim
Bước 4: Thiết lập môi trường, các bạn nhập lệnh: Set-ExecutionPolicy Unrestricted -force
Bước 5: Chuột phải vào file PowerMemory.ps1 chọn run with PowerShell
Bước 6: Tiếp theo chọn 1, tuỳ chọn này sẽ lấy mật khẩu từ trong bộ nhớ
Bước 7: Tool sẽ đòi bạn cấp quyền Admin cho PowerShell, cứ chọn yes thôi
Bước 8: Tiếp theo, bạn chọn 1 để kích hoạt cmdlets
Bước 9: Chọn 1 để lấy mật khẩu trên máy victim
Bước 10: Mình chỉ muốn lấy mật khẩu nên sẽ không chọn exfiltrate.
Bước 11: Chọn 1 để xoá dấu vết trong log, tránh để lại dấu vết.
Và thành quả của chúng ta đây
Đây Phương pháp này hoàn toàn mới. Nó chứng minh rằng ta có thể dễ dàng hack thông tin đăng nhập hoặc bất kỳ thông tin nào khác từ bộ nhớ RAM của Windows mà không cần sử dụng ngôn ngữ lập trình loạiC. Ngoài ra, với phương pháp này, chúng ta có thể sửa đổi user land và kernel của người dùng mà không bị phát hiện bởi các công nghệ antivirus mới.