==== "Password manager 2" ==== Categorie: Forensic Score : 1500 Description : "Please recover the password from that KeePass memory dump." Nous avions à télécharger l’archive suivante : http://54.247.160.116/forensics/keep2.tar Cette dernière contenait là encore un seul fichier : - memdump.raw (dump physique de la RAM) Sur le même modèle que l'épreuve "Password manager 1" on arrive à isoler le PID de KeePassX.exe : C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw Volatile Systems Volatility Framework 2.0 Offset(V) Name PID PPID Thds Hnds Time ---------- -------------------- ------ ------ ------ ------ ------------------- 0x8111d020 System 4 0 51 240 1970-01-01 00:00:00 [...] 0xffa25020 KeePassX.exe 768 1584 5 364 2012-04-23 09:16:53 Une fois dumpé et passé à la loupe des strings, il fallait cette fois-ci se rendre compte que le fichier n'était pas aussi lisible que le prédécent : C:\NDH2K12>file 768.dmp.txt; troff or preprocessor input text La sélection d'un encodage 16-bit little-endian va nous aider à y voir plus clair : C:\NDH2K12>man strings [...] -e encoding --encoding=encoding Select the character encoding of the strings that are to be found. Possible values for encoding are: s = single-7-bit-byte characters (ASCII, ISO 8859, etc., default), S = single-8-bit-byte characters, b = 16-bit bigendian, l = 16-bit littleendian, B = 32-bit bigen- dian, L = 32-bit littleendian. Useful for finding wide character strings. C:\NDH2K12>strings -e l 768.dmp > 768.dmp.l.txt Cette fois ci, on retrouve plusieurs occurrences de "flag.ndh2012.com", mais une seule avec le password qu'il nous faut passer en MD5 pour scorer : http://flag.ndh2012.com textLabel7 Tahoma 7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5 \\?\C:\Documents and Settings\ndh\Application Data\KeePassX\config.ini fieldname 2390 Texte : 7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5 Résultat : e413334776721843940e04037e99971a