Outils d'utilisateurs
"Password manager 2"
Categorie: Forensic
Score : 1500
Description : "Please recover the password from that KeePass memory dump."
Nous avions à télécharger l’archive suivante :
http://54.247.160.116/forensics/keep2.tar
Cette dernière contenait là encore un seul fichier : - memdump.raw (dump physique de la RAM)
Sur le même modèle que l'épreuve “Password manager 1” on arrive à isoler le PID de KeePassX.exe :
C:\NDH2K12>volatility pslist –profile=WinXPSP3x86 -f memdump.raw
Volatile Systems Volatility Framework 2.0
Offset(V) Name PID PPID Thds Hnds Time ---------- -------------------- ------ ------ ------ ------ ------------------- 0x8111d020 System 4 0 51 240 1970-01-01 00:00:00 [...] 0xffa25020 KeePassX.exe 768 1584 5 364 2012-04-23 09:16:53
Une fois dumpé et passé à la loupe des strings, il fallait cette fois-ci se rendre compte que le fichier n'était pas aussi lisible que le prédécent :
C:\NDH2K12>file 768.dmp.txt; troff or preprocessor input text
La sélection d'un encodage 16-bit little-endian va nous aider à y voir plus clair :
C:\NDH2K12>man strings
[...]
-e encoding
--encoding=encoding
Select the character encoding of the strings that are to be found.
Possible values for encoding are: s = single-7-bit-byte characters
(ASCII, ISO 8859, etc., default), S = single-8-bit-byte characters,
b = 16-bit bigendian, l = 16-bit littleendian, B = 32-bit bigen-
dian, L = 32-bit littleendian. Useful for finding wide character
strings.
C:\NDH2K12>strings -e l 768.dmp > 768.dmp.l.txt
Cette fois ci, on retrouve plusieurs occurrences de “flag.ndh2012.com”, mais une seule avec le password qu'il nous faut passer en MD5 pour scorer :
http://flag.ndh2012.com textLabel7 Tahoma 7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5 \\?\C:\Documents and Settings\ndh\Application Data\KeePassX\config.ini fieldname 2390
Texte : 7cU6QQKCqxCoHp6ii5WrBCUzVzUGzuS5
Résultat : e413334776721843940e04037e99971a
