"Password manager 2"

Categorie: Forensic
Score : 1500
Description : "Please recover the password from that KeePass memory dump."

Nous avions à télécharger l’archive suivante :

http://54.247.160.116/forensics/keep2.tar

Cette dernière contenait là encore un seul fichier : - memdump.raw (dump physique de la RAM)

Sur le même modèle que l'épreuve “Password manager 1” on arrive à isoler le PID de KeePassX.exe :

C:\NDH2K12>volatility pslist –profile=WinXPSP3x86 -f memdump.raw

 Volatile Systems Volatility Framework 2.0
  Offset(V)  Name                 PID    PPID   Thds   Hnds   Time
  ---------- -------------------- ------ ------ ------ ------ -------------------
  0x8111d020 System                    4      0     51    240 1970-01-01 00:00:00
  [...]
  0xffa25020 KeePassX.exe            768   1584      5    364 2012-04-23 09:16:53

Une fois dumpé et passé à la loupe des strings, il fallait cette fois-ci se rendre compte que le fichier n'était pas aussi lisible que le prédécent :

C:\NDH2K12>file 768.dmp.txt; troff or preprocessor input text

La sélection d'un encodage 16-bit little-endian va nous aider à y voir plus clair :

C:\NDH2K12>man strings

 [...]
     -e encoding
     --encoding=encoding
   Select the character encoding of the strings that are to be	found.
   Possible  values for encoding are: s = single-7-bit-byte characters
   (ASCII, ISO 8859, etc., default), S = single-8-bit-byte characters,
   b  =	 16-bit	 bigendian, l = 16-bit littleendian, B = 32-bit bigen-
   dian, L = 32-bit littleendian. Useful for  finding  wide  character
   strings.

C:\NDH2K12>strings -e l 768.dmp > 768.dmp.l.txt

Cette fois ci, on retrouve plusieurs occurrences de “flag.ndh2012.com”, mais une seule avec le password qu'il nous faut passer en MD5 pour scorer :

http://flag.ndh2012.com
textLabel7
Tahoma
7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5
\\?\C:\Documents and Settings\ndh\Application Data\KeePassX\config.ini
fieldname
2390

Texte : 7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5

Résultat : e413334776721843940e04037e99971a