Extraer la contraseña de la memoria de TeamViewer usando Frida

Iniciado por puntoCL, Agosto 02, 2017, 07:35:46 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 02, 2017, 07:35:46 PM
Hola, en este artículo queremos contar acerca de nuestra pequeña investigación sobre seguridad de contraseñas en TeamViewer. El método puede ayudar durante el tiempo pentest después de la explotación a tener acceso a otra máquina usando TeamViewer.
Hace unos días trabajé en mi Windows VPS de la nube con TeamViewer (donde establecí una contraseña personalizada). Después del trabajo desconecté, en la próxima vez cuando quise conectar, vi que TeamViewer había llenado automáticamente la contraseña.



Creo que "Interesante, ¿cómo puedo tener acceso a la contraseña? ¿Cómo se guarda la contraseña en mi computadora? "

Ubicación de la contraseña

Dejé la memoria del TeamViewer y de la contraseña grepped.



la contraseña de la memoria se almacena en formato Unicode. Resulta que si terminas de trabajar con TeamViewer y no matar el proceso (o salir de TeamViewer



La contraseña se almacenará en la memoria:

Después de analizar entendimos que el primer área roja es un comienzo de datos mágicos, en el segundo extremo mágico de datos (de vez en cuando, los datos mágicos finales tiene este valor = 00 00 00 20 00 00).

Script para obtener la contraseña:

Para extraer contraseñas de la memoria escribimos dos mini programas, en lenguaje Python y C ++.

Thx Frida equipo para una herramienta maravillosa! Nuestra secuencia de comandos python se adjunta al proceso TeamViewer.exe, obtiene la dirección base y el tamaño de memoria de cada biblioteca en este proceso. Después de eso, descarga una por una área de memoria, busca partes con [00 88] bytes al inicio y [00 00 00] bytes al final y las copia en la matriz. El siguiente y el último paso es elegir raws de decodificación final de acuerdo con la política regexp y contraseña.



Después de ejecutar el código C ++, obtendrá esta vista "asdQWE123" es la contraseña



Para el futuro

Los programas pueden extraer ID remoto y contraseñas, pero también obtiene algunas fechas falsas positivas. Si tendremos tiempo libre, trataremos de reducir las tasas de falsos positivos.

Ejemplo:



Ejemplo python:



Fuente y codigos: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Agosto 07, 2017, 09:52:36 AM #1
Excelente artículo, muy bien redactado y explicado, felicitaciones.

Enviado desde mi SM-A520F mediante Tapatalk

Agosto 07, 2017, 11:50:47 PM #2
Gran aporte!! , a ponerlo en practica a ver que tal! ;)
El Hombre nunca sabe de lo que es capaz hasta que lo intenta.
Agosto 09, 2017, 12:38:12 PM #3
Esto me hizo acordar a una mania que tengo de ponerle un presinto a mi memoria para que no puedan realizar un dump físico XD
Buen post
Imprimir
Ir Arriba Páginas1
Acciones del Usuario