• KeeFarce: Obtenção de Senhas Através do Gerenciador Keepass 2.x, Diretamente a Partir da Memória

    Publicado em 02-11-2015 22:00
    0 Comentários Comentários
    A ferramenta KeeFarce, permite a extração de informações através do sistema gerenciador de banco de dados KeePass Password 2.x, sendo este processo feito a partir de sua memória. As informações em texto puro, incluindo nomes de usuários, senhas, notas e URL são liberados em um arquivo CSV em %AppData%. Em relação ao seu design geral, KeeFarce utiliza injeção de DLL para executar código no contexto de um processo KeePass que estiver em execução. A execução de código C# é obtida injetando, primeiramente, uma inicialização DLL dentro de uma arquitetura apropriada para o cenário. Isso gera uma instância de "dot net runtime" com referência ao domínio de aplicativo apropriado, para posteriormente executar KeeFarceDLL.dll (a principal C# payload). O KeeFarceDLL utiliza CLRMD para encontrar o objeto necessário no KeePass, localiza os "pointers" para alguns sub-objetos necessários (usando offsets), e utiliza um processo de "reflexão" (quando há a capacidade de observar ou até mesmo de modificar a sua estrutura) para fazer um call relacionado a um método de exportação.


    No que tange aos pacotes pré-construídos, uma compilação adequada de KeeFarce precisa ser usada dependendo da arquitetura do alvo KeePass (seja de sistemas de 32 bits ou 64 bits). Quanto à execução: para executar no host de destino, os seguintes arquivos precisam estar na mesma pasta: BootstrapDLL.dll, KeeFarce.exe, KeeFarceDLL.dll e Microsoft.Diagnostic.Runtime.dll. Assim, o utilizador irá copiar esses arquivos para colocar em prática a sua meta e executar KeeFarce.exe. E no que se refere à construção, o utilizador deve abrir o KeeFarce.sln com o Visual Studio (lembrando que o dev foi feito em Visual Studio 2015) e clicar em "builder". Os resultados serão dist/$architecture. Dessa forma, você terá que copiar os arquivos Microsoft.Diagnostic.Runtime.dll e KeeFarceDLL.dll para a pasta antes de executá-los, pois estes são arquiteturas independentes. Sobre o grau de compatibilidade, KeeFarce foi testado em KeePass 2.28, 2.29 e 2.30 - em execução no Windows 8.1 - de 32 e 64 bits.


    Saiba Mais:

    [1] The Hacker's Tools http://www.kitploit.com/2015/11/keef...ords-from.html
    + Enviar Comentário