Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
ndh2k12_public:forensic:password_manager_1 [2012/07/03 21:57] Nickname créée |
ndh2k12_public:forensic:password_manager_1 [2017/04/09 15:33] (Version actuelle) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | [Write-Up] Nuit Du Hack 2K12 - "Password manager 1" | + | ==== "Password manager 1" ==== |
- | Categorie: Forensic | + | |
- | Score : 500 | + | Catégorie: Forensic |
- | Description | + | |
- | "Please recover the password from that memory dump" | + | Score : 500 |
+ | |||
+ | Description : "Please recover the password from that memory dump" | ||
Nous avions à télécharger l’archive suivante : | Nous avions à télécharger l’archive suivante : | ||
+ | |||
http://54.247.160.116/forensics/keep1.tar | http://54.247.160.116/forensics/keep1.tar | ||
Cette dernière contenait un seul fichier : | Cette dernière contenait un seul fichier : | ||
- | - memdump.raw (dump physique de la RAM) | + | - memdump.raw (dump physique de la RAM) |
On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM. | On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM. | ||
- | D:\NDH2K12>volatility.exe imageinfo -f memdump.raw | + | C:\NDH2K12>volatility.exe imageinfo -f memdump.raw |
Volatile Systems Volatility Framework 2.0 | Volatile Systems Volatility Framework 2.0 | ||
Determining profile based on KDBG search... | Determining profile based on KDBG search... | ||
Ligne 32: | Ligne 35: | ||
Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic : | Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic : | ||
- | D:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw | + | C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw |
Volatile Systems Volatility Framework 2.0 Offset(V) | Volatile Systems Volatility Framework 2.0 Offset(V) | ||
- | Name PID PPID Thds Hnds Time | + | Name PID PPID Thds Hnds Time |
- | ---------- -------------------- ------ ------ ------ ------ ------------------- | + | ---------- -------------------- ------ ------ ------ ------ ------------------- |
- | 0x812ed020 System 4 0 55 231 1970-01-01 00:00:00 | + | 0x812ed020 System 4 0 55 231 1970-01-01 00:00:00 |
- | 0x811cc5a0 smss.exe 368 4 3 19 2012-05-09 20:06:10 | + | 0x811cc5a0 smss.exe 368 4 3 19 2012-05-09 20:06:10 |
- | [...] | + | [...] |
- | 0x81129a48 PassKeep.exe 1864 1508 2 39 2012-05-09 11:06:17 | + | 0x81129a48 PassKeep.exe 1864 1508 2 39 2012-05-09 11:06:17 |
- | 0xffb22da0 PassKeep.exe 1872 1864 2 104 2012-05-09 11:06:17 | + | 0xffb22da0 PassKeep.exe 1872 1864 2 104 2012-05-09 11:06:17 |
- | 0x8120cc08 svchost.exe 1972 652 5 106 2012-05-09 11:06:21 | + | 0x8120cc08 svchost.exe 1972 652 5 106 2012-05-09 11:06:21 |
- | 0xffb7a440 wscntfy.exe 1040 1044 1 39 2012-05-09 11:06:24 | + | 0xffb7a440 wscntfy.exe 1040 1044 1 39 2012-05-09 11:06:24 |
- | 0x8113f910 alg.exe 1228 652 7 104 2012-05-09 11:06:24 | + | 0x8113f910 alg.exe 1228 652 7 104 2012-05-09 11:06:24 |
- | 0xffb43c08 DumpIt.exe 124 1508 1 25 2012-05-09 11:06:46 | + | 0xffb43c08 DumpIt.exe 124 1508 1 25 2012-05-09 11:06:46 |
On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe | On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe | ||
- | D:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D . | + | C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D |
Volatile Systems Volatility Framework 2.0 | Volatile Systems Volatility Framework 2.0 | ||
************************************************************************ | ************************************************************************ | ||
Ligne 54: | Ligne 58: | ||
- | Une recherche de strings plus tard nous donnera la clef ! | + | Une recherche de strings plus tard on a la clef ! |
- | D:\NDH2K12>strings 1872.dmp > 1872.dmp.txt | + | C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt |
- | [...] | + | [...] |
- | admin | + | admin |
- | admin | + | admin |
- | J5XfFsmdrBkRE | + | J5XfFsmdrBkRE |
- | http://flag.ndh2012.com | + | http://flag.ndh2012.com |
- | Good game | + | Good game |
- | c:\program files\software by design\passkeep | + | c:\program files\software by design\passkeep |
- | [...] | + | [...] |
Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! | Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! | ||
Texte : J5XfFsmdrBkRE | Texte : J5XfFsmdrBkRE | ||
Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f | Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f |