PowerMemory là một tập lệnh mạnh mẽ cho phép người dùng trích xuất và kiểm tra thông tin đăng nhập của người dùng có trong các tập tin và bộ nhớ. Script này được phát triển bởi Pierre-Alexandre Braeken và nó giúp ta lấy Password Login Windows bằng Powershell và CDB (Windows Debuggers).
Theo tác giả, tool này hoạt động trên các phiên bản của hệ điều hành Windows, tức là Windows 2003 đến 2012 và cả Windows 10 đều sử dụng được.
PowerMomory đã được thử nghiệm thành công trên các phiên bản 2003, 2008r2, 2012, 2012r2 và Windows 7 32/64 bit, Windows 8 và Windows 10 Home.
Tool này được viết trên nền PowerShell nên khó bị Antivirus phát hiện, các thức hoạt động gần giống với Mimikatz, giúp hiển thị Password Windows dạng Plain Text.
Tính năng chính:
Bước 1: Download PowerMemory về
Bước 2: Giải nén file vừa tải
Bước 3: Mở PowerShell với quyền admin
Bước 4: Thiết lập môi trường, các bạn nhập lệnh: Set-ExecutionPolicy Unrestricted -force
Bước 5: Chuột phải vào file PowerMemory.ps1 chọn run with PowerShell
Bước 6: Tiếp theo chọn 1, tuỳ chọn này sẽ lấy mật khẩu từ trong bộ nhớ
Bước 7: Tool sẽ đòi bạn cấp quyền Admin cho PowerShell, cứ chọn yes thôi
Bước 8: Tiếp theo, bạn chọn 1 để kích hoạt cmdlets
Bước 9: Chọn 1 để lấy mật khẩu trên máy victim
Bước 10: Mình chỉ muốn lấy mật khẩu nên sẽ không chọn exfiltrate.
Bước 11: Chọn 1 để xoá dấu vết trong log, tránh để lại dấu vết.
Và thành quả của chúng ta đây
Đây Phương pháp này hoàn toàn mới. Nó chứng minh rằng ta có thể dễ dàng hack thông tin đăng nhập hoặc bất kỳ thông tin nào khác từ bộ nhớ RAM của Windows mà không cần sử dụng ngôn ngữ lập trình loại C. Ngoài ra, với phương pháp này, chúng ta có thể sửa đổi user land và kernel của người dùng mà không bị phát hiện bởi các công nghệ antivirus mới.
