KeeFarce – 从KeePass 2.x数据库中直接从内存中提取密码的工具

KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。明文信息(包括用户名,密码,备注和URL)被转储到%AppData%中的CSV文件中。

该工具使用DLL注入来在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现C#代码执行。这会在适当的应用程序域内生成一个dot net运行时的实例,随后执行KeeFarceDLL.dll(主要的C#有效内容)。
它使用CLRMD在KeePass进程堆中查找必要的对象,查找指向某些必需子对象的指针(使用偏移量),并使用反射调用导出方法。
为了在目标主机上执行,以下文件需要位于同一个文件夹中:

  • BootstrapDLL.dll
  • KeeFarce.exe
  • KeeFarceDLL.dll
  • Microsoft.Diagnostic.Runtime.dll

将这些文件复制到目标并执行KeeFarce.exe
KeeFarce已经过测试:

  • KeePass 2.28,2.29和2.30 - 在Windows 8.1上运行 - 都是32位和64位。

这应该也适用于较旧的Windows机器(使用最近的服务包win 7)。如果您的目标不是上述内容,则建议您事先在实验室环境中进行测试

下载地址:https://github.com/denandz/KeeFarce

1

发表评论

电子邮件地址不会被公开。