La única manera de obtener credenciales de volcados de datos es disponer de una buena lista de patrones que ayuden a encontrar lo que se está buscando. Estos son algunas herramientas que pueden facilitar dicho trabajo en entornos de red.
Se recomienda aumentar el listado de campos (“fields”) con más nombres de variables, por ejemplo utilizando palabras en otros idiomas para intentar obtener mejores resultados.
Filtrando credenciales con tcpdump (http, ftp, smtp, imap, pop3). Se recomienda mirar cualquiera de los dos scripts expuestos a continuación para completar la lista de posibles variables.
tcpdump port http or port ftp or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20
Net-creds: https://github.com/DanMcInerney/net-creds/
Esta herramienta pone la interfaz seleccionada en modo promiscuo e intenta obtener credenciales. También puede ser usado con ficheros pcap.
PCredz: https://github.com/lgandx/PCredz/
Prácticamente igual que Net-creds, de hecho este se basa en los filtros de PCredz.
Los hashes son mostrados en formato hashcat (Kerberos: -m 7500 , NTLMv1 -m 5500 , NTLMv2 -m 5600). También guarda las credenciales obtenidas en un fichero CredentialDump-Session.log.
Aplicar los mismos filtros que PCredz a volcados de memoria RAM.
Ejemplo utilizando los mismos campos que con tcpdump.
egrep -A 5 -B 5 --color -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20 Volcado_RAM.img