mimikittenz: extracción de contraseñas en claro con ReadProcessMemory()/regex

mimikittenz de Jamieson O'Reilly aka putterpanda (atentos a su foto de perfil en Github lol!) es una herramienta de post-explotación en powershell/C sharp que utiliza la función de Windows ReadProcessMemory() para extraer contraseñas en claro de varios procesos.

Su objetivo es facilitar a nivel de usuario (sin necesidad de privilegios de administrador) la extracción de datos sensibles con el fin de maximizar los esfuerzos en la fase de post-explotación y aumentar el valor de la información recogida por cada objetivo.


Actualmente mimikittenz es capaz de extraer las siguientes credenciales de la memoria:

Webmail
  •     Gmail
  •     Office365
  •     Outlook Web
Accounting
  •     Xero
  •     MYOB
Remote Access
  •     Juniper SSL-VPN
  •     Citrix NetScaler
  •     Remote Desktop Web Access 2012
Developement
  •     Jira
  •     Github
  •     Bugzilla
  •     Zendesk
  •     Cpanel
IHateReverseEngineers
  •     Malwr
  •     VirusTotal
  •     AnubisLabs
Misc
  •     Dropbox
  •     Microsoft Onedrive
  •     AWS Web Services
  •     Slack
  •     Twitter
  •     Facebook
Además, mimikittenz también puede extraer fácilmente otros tipos de *jugosa* información de procesos utilizando patrones de expresiones regulares que incluyen pero no se limitan a:

- datos de TRACK2 (tarjetas de crédio) de los procesos de venta/POS
- datos PII
- claves de cifrado y otros

Regex personalizado - la sintaxis para añadir expresiones regulares personalizadas es la siguiente:
[mimikittenz.MemProcInspector]::AddRegex("<NameOfTarget>","<regex_here>")

Personalizar proceso objetivo - sólo hay que añadir el nombre del proceso dentro del array:
$matches=[mimikittenz.MemProcInspector]::InspectManyProcs("iexplore","chrome","firefox")

Nota: Esta herramienta tiene como objetivo el espacio de direcciones de memoria del proceso, una vez que se mata el proceso la memoria "debería" ser limpiada e inaccesible, sin embargo hay algunos casos extremos en los que esto no ocurre

Github: https://github.com/putterpanda/mimikittenz
Via: www.hackplayers.com
mimikittenz: extracción de contraseñas en claro con ReadProcessMemory()/regex mimikittenz: extracción de contraseñas en claro con ReadProcessMemory()/regex Reviewed by Zion3R on 4:07 Rating: 5