KeePass CVE-2023-32784:进程内存转储检测

最新推荐文章于 2024-06-25 09:51:02 发布
最新推荐文章于 2024-06-25 09:51:02 发布
阅读量534 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全 安全 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52069830/article/details/132076771
版权

KeePass CVE-2023-32784:进程内存转储检测

KeePass 是一种流行的开源密码管理器,可以在 Windows、Mac 或 Linux 上运行。该漏洞允许从正在运行的进程的内存中以明文形式提取主密钥。主密钥将允许攻击者访问所有存储的凭据

强烈建议更新到KeePass 2.54以修复该漏洞

在本文将解释新漏洞 CVE-2023-32784,其工作原理以及当攻击者获得对系统的完全访问权限并执行其他技术来窃取凭据时如何检测此类攻击

Linux 内存中的凭证

在谈论Linux的凭证时,我们通常会想到/etc/shadow文件,但那并不是密码可能存储的唯一位置。许多进程也会将凭证存储在内存中,恶意工具会尝试提取这些凭证。例如,在下面描述的proc目录就是这种攻击类型的一个常见向量

来自Linux内核文档
/proc目录包含(除其他内容外)系统上运行的每个进程都有一个子目录,以该进程ID(PID)命名。”

MITRE定义了对proc文件系统进行凭证获取的敌对行为称为操作系统凭证转储:Proc文件系统T1003.007

什么是 KeePass CVE-2023-32784?

CVE-2023-32784允许从内存转储中恢复明文主密码。内存转储可以是KeePass进程转储、交换文件(pagefile.sys)、休眠文件(hiberfil.sys)或整个系统的RAM转储

KeePass 2.X使用自定义开发的密码输入文本框SecureTextBoxEx。在这个CVE中被利用的漏洞是,每输入一个字符,就会在内存中创建一个剩余字符串。由于.NET的工作原理,一旦它被创建出来几乎不可能摆脱它。例如,当键入“Password”时,将产生以下剩余字符串: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d.第一个字符无法恢复

为了重现该场景,我们使用了18.04.1-Ubuntu和Linux上的KeePass 2.38版本。概念验证(PoC)基于此Github仓库,并且也是原始PoC的一部分

我们使用的 PoC 按照以下步骤提取 KeePass 密钥:

  • 首先,扫描所有/proc/<pid>/cmdline文件并存储带有关键字 KeePass 的文件的 pid
  • /proc/<pid>/maps然后,获取不与库直接关联的内存映射的地址
  • 最后,利用 . 将所有这些映射的内存存储到缓冲区中/proc/<pid>/mem。解析内存以尝试查找用户输入主密码时剩余的字符串,这些字符串依次为 •a、••s、•••s

Keepass CVE-2023-32784

正如我们在上图中看到的,主密钥在没有第一个字符的情况下被暴露

如何检测 KeePass CVE-2023-32784

为了检测这种类型的攻击,我们应该能够监控/proc未知进程对文件夹的访问。这将触发警报,我们可以进一步调查。

在这种情况下,我们需要调整策略 从/proc文件中读取环境变量或创建一个新的**

为了正确触发此规则,我们应该修改条件以捕获PoC 中用于获取 KeePass 主密码的/proc/<pid>/cmdline/proc/<pid>/maps或 的读取。/proc/<pid>/mem

- rule: Dump memory detection
  desc: An attempt to read process environment variables from /proc files
  condition: >
    open_read and container and (fd.name glob "/proc/*/mem" or fd.name glob "/proc/*/maps")
  output: >
    Detected process memory dump to search for credentials (proc.name=%proc.name 
proc.pname=%proc.pname fd.name=%fd.name container=%container.info evt.type=%evt.type 
evt.arg.request=%evt.arg.request proc.pid=%proc.pid proc.cwd=%proc.cwd proc.ppid=%proc.ppid 
proc.cmdline=%proc.cmdline proc.pcmdline=%proc.pcmdline)<small>
<span class="shcb-language__paren"></span></small>

通过这条新策略,我们能够检测到 CVE-2023-32784 的利用

Keepass CVE-2023-32784

该告警包含我们继续调查威胁所需的所有信息

10:47:47.232147057: Warning Detected process memory dump to search for credentials 
(proc.name=dump proc.pname=sudo fd.name=/proc/2859/mem container=host (id=host) 
evt.type=openat evt.arg.request=<NA> proc.pid=2916 
proc.cwd=/home/kpdemo/CVE-2023-32784-keepass-linux/ proc.ppid=2915 
proc.cmdline=dump proc.pcmdline=sudo ./dump gparent=bash ggparent=gnome-terminal- 
gggparent=systemd proc.sid=2802 
proc.exepath=/home/kpdemo/CVE-2023-32784-keepass-linux/dump user.uid=0 
user.loginuid=1000 user.loginname=kpdemo user.name=root group.gid=0 group.name=root 
container.id=host container.name=host image=<NA>)<small>
<span class="shcb-language__paren"></span></small>

正如漏洞利用中所述,如果攻击者在您的计算机中拥有足够的权限和能力,则攻击者可能能够执行任何恶意操作。然而,这条策略可以让我们知道我们的凭据是否被破坏并采取相应的行动

更多转储进程内存的工具

如果我们对此类技术进行更多研究,我们会发现还有其他工具可以执行类似的操作。让我们看看几个以及如何以相同的方式检测它们

Mimipenguin

Mimipenguin 2.0是一个转储当前 Linux 桌面用户登录密码的工具。它改编自流行的 Windows 凭据窃取工具 mimikatz 背后的想法

Keepass CVE-2023-32784

该工具尝试执行类似于 KeePass PoC 的操作,但在这种情况下,它找不到密钥(因为未实现 CVE)。但是,它能够获取系统凭据。在上图中,我们可以看到两个警报;第一个是检测对/proc/<pid>/mem

10:56:59.508184318: Warning Detected process memory dump to search for credentials 
(proc.name=python proc.pname=sudo fd.name=/proc/1114/mem container=host (id=host) 
evt.type=openat evt.arg.request=<NA> proc.pid=7194 proc.cwd=/home/kpdemo/mimipenguin/ 
proc.ppid=7193 proc.cmdline=python mimipenguin.py proc.pcmdline=sudo python 
mimipenguin.py gparent=bash ggparent=gnome-terminal- gggparent=systemd 
proc.sid=2802 proc.exepath=/usr/bin/python user.uid=0 user.loginuid=1000 
user.loginname=kpdemo user.name=root group.gid=0 group.name=root container.id=host 
container.name=host image=<NA>)<small><span class="shcb-language__paren"></span></small>

第二个是它/etc/shadow从提取用户密码的地方获取访问权限

10:57:52.447428441: Warning Sensitive file opened for reading by non-trusted program 
(user=root user_loginuid=1000 program=python command=python mimipenguin.py pid=7194 
file=/etc/shadow parent=sudo gparent=bash ggparent=gnome-terminal- gggparent=systemd 
container_id=host image=<NA>)<small><span class="shcb-language__paren"></span></small>

LaZagne

LaZagne是一个开源应用程序,用于检索本地计算机上存储的大量密码。在这种情况下,它不仅关注内存,还使用不同的技术(纯文本、API、自定义算法、数据库等)搜索凭证

Keepass CVE-2023-32784

在此示例中,我们再次收到检测到访问的警报,并且该工具向我们显示它已找到用户的密码和我们保存的 KeePass 数据库

11:14:02.074516511: Warning Detected process memory dump to search for credentials 
(proc.name=python proc.pname=sudo fd.name=/proc/1114/maps container=host (id=host) 
evt.type=openat evt.arg.request=<NA> proc.pid=7253 
proc.cwd=/home/kpdemo/LaZagne/Linux/ proc.ppid=7252 proc.cmdline=python laZagne.py 
all proc.pcmdline=sudo python laZagne.py all gparent=bash ggparent=gnome-terminal- 
gggparent=systemd proc.sid=2802 proc.exepath=/usr/bin/python user.uid=0 
user.loginuid=1000 user.loginname=kpdemo user.name=root group.gid=0 group.name=root 
container.id=host container.name=host image=<NA>)<small>
<span class="shcb-language__paren"></span></small>

最后

收集凭据是攻击者非常常用的技术。需要拥有所有必要的工具来检测这些类型的操作,以防止它们横向移动或影响其他服务

mall>


## 最后

收集凭据是攻击者非常常用的技术。需要拥有所有必要的工具来检测这些类型的操作,以防止它们横向移动或影响其他服务

最后,我们强烈建议升级到新版本KeePass 2.54
Financial talent
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTB Keeper CVE-2023-32784
q
01-09 446
登录进去发现一个lnorgaard用户在他的备注中说的,初始密码设置为Welcome2023!带●的是遗失的,第二个字符是猜测的,有些wp不懂就去看资料,说●像o,又懂完了,别误人子弟。把域名及子域名添加到hosts,发现一个登录框,以及是RT 4.4.4版本。下载putty工具,并将其成openssh格式的id_rsa文件。解压后发现是一个dmp文件,dmp文件是系统错误产生的文件。使用G搜索,密码为:rødgrød med fløde。使用sudo -l查看使用有sudo权限,并没有。
WuThreat身份安全云-TVD每日漏洞情报-2023-05-16
wuthreat无胁科技的博客
05-19 486
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2023-20865,CNNVD-202304-1730。
KeePass与Linux桌面完美融合的神器:Keebuntu
最新发布
gitblog_00052的博客
06-25 400
KeePass与Linux桌面完美融合的神器:Keebuntu 项目地址:https://gitcode.com/dlech/Keebuntu 1、项目介绍 Keebuntu 是一套专为KeePass 2.x设计的插件集合,它使得KeePass这款强大的密码管理工具在Linux环境下能更好地融入桌面环境,特别是Ubuntu系统(同时也支持其他Linux发行版)。这个开源项目旨在解决KeePass...
python生成自定义长度、包含指定字符、排除指定字符、必定包含每一类字符的随机密码,仿照KeePass密码生成器
qq_37510316的博客
06-07 474
仿照keepass密码生成器,话不多说,直接上代码(注意必须是python3 ,因为有两个方法在python2和3中的写法是不同的,如果用python2,则需要修改maketrans和translate)
Python Keepass: 一个强大的密码管理器
gitblog_00006的博客
03-12 414
Python Keepass: 一个强大的密码管理器 Python Keepass是一个基于KeePassXC的开源密码管理器。它提供了一个简单易用的界面,让你可以轻松地管理和保护你的登录凭据和其他敏感信息。 功能特性 安全性高:Python Keepass使用AES加密算法对数据库进行加密,确保你的数据安全无虞。 简单易用:Python Keepass具有直观的用户界面,只需几个简单的步骤即可...
keepass.py:用于读取 kdbx 文件的后端和命令行工具
07-07
keepass.py 用于读取 kdbx 文件的后端和命令行工具 使用作为实现格式的文档。 不幸的是,该链接上的数据不完整,导致实施无法正常工作。
keepass2-haveibeenpwned:我是否已为KeePass进行检查而变得简单
05-28
keepass2-haveibeenpwned KeePass 2.x插件可针对各种违规列表检查所有带有URL的条目。 从下载plgx。 Mono用户可以从下载dll。 Mono用户可能会发现他们需要安装等效于mono-complete的发行版才能使插件正常工作。 ...
keepass-vault-sync-plugin:Keepass插件可同步Hashicorp Vault机密
05-07
对于Windows,它位于C:\Program Files (x86)\KeePass Password Safe 2\Plugins 对于Linux,它位于/usr/lib/keepass2/Plugins 打开你的数据库 创建名称以vault开头的条目。 例如: vault-personal-folder 用户名是...
KeePass-Yet-Another-Favicon-Downloader:KeePass 2.x的另一个Favicon下载器
05-01
还有一个Favicon Downloader (简称YAFD )是KeePass 2.x的插件,可让您快速下载用于图标输入密码的favicon 。 特征 并发和响应(允许更快的下载而不会冻结用户界面) 轻巧可靠(旨在批量下载数千个图标) 聪明...
CKP - KeePass整合Chrome:trade_mark:「CKP - KeePass integration for Chrome:trade_mark:」-crx插件
03-20
CKP为Chrome提供了只读KeePass集成。它使您的密码可以在您需要的时候安全地提供给您 - 在登录页面。 在任何PC,Mac或Chromebook上从Google Chrome访问您的密码,同时完全控制密码数据库的安全性 KeePass是一个值得...
Keepass-Self-Bruteforce:使用Python脚本使KeePass对其自身执行Self-Bruteforce攻击
05-26
Keepass-自助暴力使KeePass对其自身执行Self-Bruteforce攻击的Python脚本。 有关更多信息,请访问Q-Protex的网站或Q-Protex的博客。
python-keepass:KeePass文件格式v3的Python接口(在KeePass V1.x和KeePassX中使用)
05-02
keepassc和python-keepass 这提供了用于处理KeePass格式v3(由 1.x和)的文件的命令行和Python界面。 请注意,这不是KeePass应用程序版本2.x使用的格式。 注意事项 在使用此代码之前,请了解其(已知)安全性和正确性限制: 与KeePass / KeePassX GUI应用程序不同,此代码不尝试保护其内存。 读入的输入文件存在完全解密的内存中。 尽管默认设置可以避免这种情况,但是以纯文本格式显示存的密码非常容易。 在命令行上指定主键将在您的Shell历史记录和进程列表中留下痕迹。 当输入文件被视为只读文件时,请保留由KeePass / KeePassX编写的所有文件的备份,直到确定此代码编写的文件可用为止。 当前不支持密钥文件。 前提条件和安装 您将需要安装python-crypto软件包(提供“ Crypto”模块)。 在性能良好的
Python库 | keepass_cli-0.1.5.tar.gz
05-17
资源分类:Python库 所属语言:Python 资源全名:keepass_cli-0.1.5.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
微软四月补丁星期二值得关注的漏洞
smellycat000的专栏
04-12 958
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本月,微软公司发布了97个新补丁,其中修复的7个漏洞是“严重”等级,其余90个是“重要”级别。虽然这一数量与以往年份一致,但远程代码执行漏洞的数量占本次发布的近一半比例,这种情况比较少见。另外,微软本月并未修复温哥华 Pwn2Own 2023 大赛中披露的任何漏洞。在这些漏洞中,有一个已遭利用。已遭利用的 0dayCVE-2023-28252 是...
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 6762
MinIO是美国MinIO公司的一款开源的对象存服务器, 是一款高性能、分布式的对象存系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
CVE-2023-28432 MiniO信息泄露漏洞复现
Love&Share
04-28 5800
MiniO 是一个基于 Apache License v2.0 开源协议的对象存服务。它兼容亚马逊 S3 云存服务接口,非常适合于存大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响。
GDB - 查看崩溃程序maps映射表
sz66cm 学习随笔
01-22 618
在日常的系统维护和故障排查中,经常需要查看特定进程的库映射表。例如,对于一个名为CMApp的进程,我们通常通过执行命令 cat /proc/[pidof CMApp]/maps 来获取其库映射表。这种方法简单直接,但它要求CMApp进程在执行命令时仍然处于运行状态。然而,在某些情况下,比如当进程崩溃产生核心(core dump)文件时,这种方法就不再适用。这是因为进程已经终止,无法通过 /proc 文件系统获取信息。
linux进程内存泄露,如何在大型c Linux应用程序中检查内存泄漏?
weixin_29629231的博客
04-28 183
我目前正在开发一个大规模的应用程序项目(用c语言编写),它从前面开始从头开始,我们已经到了强制要求对内存泄漏进行检查的时候了.该应用程序在Ubuntu Linux上运行,它具有大量的多媒体内容,并使用OpenGl,SDL和ffmpeg用于各种目的,包括3D图形渲染,窗口,音频和电影播放.您可以将其视为视频游戏,虽然它不是,但通过将其视为视频游戏,可以简化应用程序的职责.我目前有点无能为力地确定我们...
supervisor入门到精通
weixin_30662011的博客
12-27 183
1.介绍 Supervisor是基于 Python 的进程管理工具,只能运行在 Unix-Like 的系统上,也就是无法运行在 Windows 上。Supervisor 官方版目前只能运行在 Python 2.4 以上版本,但是还无法运行在 Python 3 上,不过已经有一个 Python 3 的移植版supervisor-py3k。 在一个分布式环境中,每台机器上可能需要启动和停止多个...
KeePass master password is missing In-memory password storage will be used.
06-08
如果KeePass数据库的主密码丢失或无法识别,KeePass会在内存中使用密码存。这样虽然方便了您的使用,但也增加了安全风险。 如果您遇到这种情况,请考虑以下步骤: 1. 尝试想起您设置的主密码。如果您使用了密码管理器来保存密码,可以检查该应用程序中是否保存了该密码。 2. 如果您无法想起主密码,请尝试使用“恢复密码”选项。该选项可能会提示您输入一些其他信息以验证您的身份,例如安全问题的答案。 3. 如果您无法通过“恢复密码”选项恢复密码,请考虑使用备份。如果您在创建数据库时创建了备份副本,则可以使用该备份副本。 4. 如果您没有备份,请考虑重置数据库。这将删除数据库中的所有数据。要重置数据库,请打开KeePass,单击“文件”>“新建”,然后创建新的数据库文件。 请注意,为了保护您的数据安全,建议您保留KeePass数据库的备份,并定期更改主密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Financial talent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值