KeeFarce – 直接从内存中KeePass 2.x数据库中提取密码的工具

华盟学院山东省第二期线下学习计划


KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。明文信息(包括用户名,密码,备注和URL)被转储到%AppData%中的CSV文件中。

该工具使用DLL注入在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现C#代码执行。这会在适当的应用程序域内生成一个dot net运行时的实例,随后执行KeeFarceDLL.dll(主要的C#有效内容)。

它使用CLRMD在KeePass进程堆中查找必要的对象,查找指向某些必需子对象的指针(使用偏移量),并使用反射调用导出方法。

为了在目标主机上执行,以下文件需要位于同一个文件夹中:
BootstrapDLL.dll
KeeFarce.exe
KeeFarceDLL.dll
Microsoft.Diagnostic.Runtime.dll

将这些文件复制到目标并执行KeeFarce.exe

KeeFarce已经过测试:
KeePass 2.28,2.29和2.30 - 在Windows 8.1上运行 - 都是32位和64位。
这应该也适用于较旧的Windows机器。如果您的目标不是上述内容,则建议您事先在实验室环境中进行测试。
下载地址:https://github.com/denandz/KeeFarce

www.idc126.com

文章出处:http://www.effecthacking.com,由华盟网翻译排版,转载请注明华盟网

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论