ANDROID

[ANDROID][bsummary]

FACEBOOK

[FACEBOOK][twocolumns]

NOTÍCIAS

[NOTÍCIAS][bleft]

KALI LINUX

[KALI LINUX][grids]

KeeFarce - extrai senhas de um banco de dados Keepass 2.X, diretamente da memória


Design geral
O KeeFarce usa a injeção DLL para executar o código no contexto de um processo KeePass em execução. A execução do código C # é conseguida primeiro injetando uma DLL de inicialização adequada à arquitetura. Isso gera uma instância do tempo de execução de rede de pontos dentro do domínio do aplicativo apropriado, executando subsequentemente KeeFarceDLL.dll (a carga útil principal do C #).
O KeeFarceDLL usa CLRMD para encontrar o objeto necessário no heap de processos do KeePass, localiza os ponteiros para alguns sub-objetos necessários (usando offsets) e usa a reflexão para chamar um método de exportação.

Pacotes pré-construídos
Uma configuração apropriada do KeeFarce precisa ser usada dependendo da arquitetura do alvo do KeePass (32 bits ou 64 bits). Arquivos e seus shasums podem ser encontrados no diretório 'pré-construído'.

Executando
Para executar no host de destino, os seguintes arquivos precisam estar na mesma pasta:
  •  BootstrapDLL.dll
  •  KeeFarce.exe
  •  KeeFarceDLL.dll
  •  Microsoft.Diagnostic.Runtime.dll
Copie esses arquivos para o destino e execute KeeFarce.exe

Construção
Abra o KeeFarce.sln com o Visual Studio (nota: o dev foi feito no Visual Studio 2015) e clique em 'construir'. Os resultados serão cuspidos para dist / $ architecture. Você terá que copiar os arquivos KeeFarceDLL.dll e Microsoft.Diagnostic.Runtime.dll na pasta antes de serem executados, pois estes são independentes da arquitetura.

Compatibilidade
KeeFarce foi testado em:
  •  KeePass 2.28, 2.29 e 2.30 - rodando no Windows 8.1 - 32 e 64 bits.
Isso também deve funcionar em máquinas Windows antigas (ganhar 7 com um service pack recente). Se você está segmentando algo diferente do acima, então o teste em um ambiente de laboratório antes da mão é recomendado.

Reconhecimentos
  •  Sharp Needle by Chad Zawistowski foi usado para a injeção DLL tesh.
  •  Código de Alois Kraus foi usado para obter o ponteiro para o objeto C # voodoo trabalhando.


0 comentários via Blogger
comentários via Facebook

Nenhum comentário :