Outils d'utilisateurs
ndh2k12_public:forensic:password_manager_1
Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
ndh2k12_public:forensic:password_manager_1 [2012/07/03 21:57] Nickname créée |
ndh2k12_public:forensic:password_manager_1 [2017/04/09 15:33] (Version actuelle) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | [Write-Up] Nuit Du Hack 2K12 - "Password manager 1" | + | ==== "Password manager 1" ==== |
| - | Categorie: Forensic | + | |
| - | Score : 500 | + | Catégorie: Forensic |
| - | Description | + | |
| - | "Please recover the password from that memory dump" | + | Score : 500 |
| + | |||
| + | Description : "Please recover the password from that memory dump" | ||
| Nous avions à télécharger l’archive suivante : | Nous avions à télécharger l’archive suivante : | ||
| + | |||
| http://54.247.160.116/forensics/keep1.tar | http://54.247.160.116/forensics/keep1.tar | ||
| Cette dernière contenait un seul fichier : | Cette dernière contenait un seul fichier : | ||
| - | - memdump.raw (dump physique de la RAM) | + | - memdump.raw (dump physique de la RAM) |
| On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM. | On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM. | ||
| - | D:\NDH2K12>volatility.exe imageinfo -f memdump.raw | + | C:\NDH2K12>volatility.exe imageinfo -f memdump.raw |
| Volatile Systems Volatility Framework 2.0 | Volatile Systems Volatility Framework 2.0 | ||
| Determining profile based on KDBG search... | Determining profile based on KDBG search... | ||
| Ligne 32: | Ligne 35: | ||
| Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic : | Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic : | ||
| - | D:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw | + | C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw |
| Volatile Systems Volatility Framework 2.0 Offset(V) | Volatile Systems Volatility Framework 2.0 Offset(V) | ||
| - | Name PID PPID Thds Hnds Time | + | Name PID PPID Thds Hnds Time |
| - | ---------- -------------------- ------ ------ ------ ------ ------------------- | + | ---------- -------------------- ------ ------ ------ ------ ------------------- |
| - | 0x812ed020 System 4 0 55 231 1970-01-01 00:00:00 | + | 0x812ed020 System 4 0 55 231 1970-01-01 00:00:00 |
| - | 0x811cc5a0 smss.exe 368 4 3 19 2012-05-09 20:06:10 | + | 0x811cc5a0 smss.exe 368 4 3 19 2012-05-09 20:06:10 |
| - | [...] | + | [...] |
| - | 0x81129a48 PassKeep.exe 1864 1508 2 39 2012-05-09 11:06:17 | + | 0x81129a48 PassKeep.exe 1864 1508 2 39 2012-05-09 11:06:17 |
| - | 0xffb22da0 PassKeep.exe 1872 1864 2 104 2012-05-09 11:06:17 | + | 0xffb22da0 PassKeep.exe 1872 1864 2 104 2012-05-09 11:06:17 |
| - | 0x8120cc08 svchost.exe 1972 652 5 106 2012-05-09 11:06:21 | + | 0x8120cc08 svchost.exe 1972 652 5 106 2012-05-09 11:06:21 |
| - | 0xffb7a440 wscntfy.exe 1040 1044 1 39 2012-05-09 11:06:24 | + | 0xffb7a440 wscntfy.exe 1040 1044 1 39 2012-05-09 11:06:24 |
| - | 0x8113f910 alg.exe 1228 652 7 104 2012-05-09 11:06:24 | + | 0x8113f910 alg.exe 1228 652 7 104 2012-05-09 11:06:24 |
| - | 0xffb43c08 DumpIt.exe 124 1508 1 25 2012-05-09 11:06:46 | + | 0xffb43c08 DumpIt.exe 124 1508 1 25 2012-05-09 11:06:46 |
| On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe | On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe | ||
| - | D:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D . | + | C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D |
| Volatile Systems Volatility Framework 2.0 | Volatile Systems Volatility Framework 2.0 | ||
| ************************************************************************ | ************************************************************************ | ||
| Ligne 54: | Ligne 58: | ||
| - | Une recherche de strings plus tard nous donnera la clef ! | + | Une recherche de strings plus tard on a la clef ! |
| - | D:\NDH2K12>strings 1872.dmp > 1872.dmp.txt | + | C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt |
| - | [...] | + | [...] |
| - | admin | + | admin |
| - | admin | + | admin |
| - | J5XfFsmdrBkRE | + | J5XfFsmdrBkRE |
| - | http://flag.ndh2012.com | + | http://flag.ndh2012.com |
| - | Good game | + | Good game |
| - | c:\program files\software by design\passkeep | + | c:\program files\software by design\passkeep |
| - | [...] | + | [...] |
| Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! | Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! | ||
| Texte : J5XfFsmdrBkRE | Texte : J5XfFsmdrBkRE | ||
| Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f | Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f | ||
ndh2k12_public/forensic/password_manager_1.1341345465.txt.gz · Dernière modification: 2017/04/09 15:33 (modification externe)
Outils de la Page
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
