Outils d'utilisateurs

Outils du Site


ndh2k12_public:forensic:password_manager_1

Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

Lien vers cette vue

ndh2k12_public:forensic:password_manager_1 [2012/07/03 21:57]
Nickname créée
ndh2k12_public:forensic:password_manager_1 [2017/04/09 15:33] (Version actuelle)
Ligne 1: Ligne 1:
-[Write-Up] Nuit Du Hack 2K12 - "Password manager 1" +==== "Password manager 1" ==== 
-Categorie: Forensic + 
-Score : 500 +  Catégorie: Forensic 
-Description +   
-"Please recover the password from that memory dump"+  Score : 500 
 +   
 +  Description : "Please recover the password from that memory dump"
  
 Nous avions à télécharger l’archive suivante : Nous avions à télécharger l’archive suivante :
 +
 http://54.247.160.116/forensics/keep1.tar http://54.247.160.116/forensics/keep1.tar
  
 Cette dernière contenait un seul fichier  : Cette dernière contenait un seul fichier  :
-- memdump.raw (dump physique de la RAM)+ - memdump.raw (dump physique de la RAM)
  
 On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM. On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM.
  
-D:\NDH2K12>volatility.exe imageinfo -f memdump.raw+C:\NDH2K12>volatility.exe imageinfo -f memdump.raw
 Volatile Systems Volatility Framework 2.0 Volatile Systems Volatility Framework 2.0
 Determining profile based on KDBG search... Determining profile based on KDBG search...
Ligne 32: Ligne 35:
 Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic : Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic :
  
-D:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw+C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw
 Volatile Systems Volatility Framework 2.0 Offset(V) Volatile Systems Volatility Framework 2.0 Offset(V)
-Name                 PID    PPID   Thds   Hnds   Time +   Name                 PID    PPID   Thds   Hnds   Time 
----------- -------------------- ------ ------ ------ ------ ------------------- +   ---------- -------------------- ------ ------ ------ ------ ------------------- 
-0x812ed020 System                    4      0     55    231 1970-01-01 00:00:00 +   0x812ed020 System                    4      0     55    231 1970-01-01 00:00:00 
-0x811cc5a0 smss.exe                368      4      3     19 2012-05-09 20:06:10 +   0x811cc5a0 smss.exe                368      4      3     19 2012-05-09 20:06:10 
-[...] +   [...] 
-0x81129a48 PassKeep.exe           1864   1508      2     39 2012-05-09 11:06:17 +   0x81129a48 PassKeep.exe           1864   1508      2     39 2012-05-09 11:06:17 
-0xffb22da0 PassKeep.exe           1872   1864      2    104 2012-05-09 11:06:17 +   0xffb22da0 PassKeep.exe           1872   1864      2    104 2012-05-09 11:06:17 
-0x8120cc08 svchost.exe            1972    652      5    106 2012-05-09 11:06:21 +   0x8120cc08 svchost.exe            1972    652      5    106 2012-05-09 11:06:21 
-0xffb7a440 wscntfy.exe            1040   1044      1     39 2012-05-09 11:06:24 +   0xffb7a440 wscntfy.exe            1040   1044      1     39 2012-05-09 11:06:24 
-0x8113f910 alg.exe                1228    652      7    104 2012-05-09 11:06:24 +   0x8113f910 alg.exe                1228    652      7    104 2012-05-09 11:06:24 
-0xffb43c08 DumpIt.exe              124   1508      1     25 2012-05-09 11:06:46+   0xffb43c08 DumpIt.exe              124   1508      1     25 2012-05-09 11:06:46
  
 On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe
  
-D:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D .+C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D 
 Volatile Systems Volatility Framework 2.0 Volatile Systems Volatility Framework 2.0
 ************************************************************************ ************************************************************************
Ligne 54: Ligne 58:
  
  
-Une recherche de strings plus tard nous donnera la clef !+Une recherche de strings plus tard on a la clef !
  
-D:\NDH2K12>strings 1872.dmp > 1872.dmp.txt +C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt 
-[...] +  [...] 
-admin +  admin 
-admin +  admin 
-J5XfFsmdrBkRE +  J5XfFsmdrBkRE 
-http://flag.ndh2012.com +  http://flag.ndh2012.com 
-Good game +  Good game 
-c:\program files\software by design\passkeep +  c:\program files\software by design\passkeep 
-[...]+  [...]
  
 Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer !
 Texte : J5XfFsmdrBkRE Texte : J5XfFsmdrBkRE
 Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f  Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f 
ndh2k12_public/forensic/password_manager_1.1341345465.txt.gz · Dernière modification: 2017/04/09 15:33 (modification externe)