IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

手把手教你如何从内存中提取出LastPass的用户凭证

发布时间:2016-10-21 05:45文章来源:互联网文章作者: 佚名点击次数:
首先我要声明的是,我这篇文章中所要描述的内容并没有涉及到LastPass的漏洞,而且整个过程也与漏洞利用无关。在这篇文章中,我准备告诉大家如何在信息取证的过程中尽可能地从内存中提取出我们所需要的数据,而且在某些情况下,我们还得要求这些数据必须是明

首先我要声明的是,我这篇文章中所要描述的内容并没有涉及到LastPass的漏洞,而且整个过程也与漏洞利用无关。在这篇文章中,我准备告诉大家如何在信息取证的过程中尽可能地从内存中提取出我们所需要的数据,而且在某些情况下,我们还得要求这些数据必须是明文形式的有效数据。

最近,我正在阅读《内存取证的艺术》这本书[购买地址],如果你对数据取证这一方面感兴趣的话,那么这本书是我强烈推荐的。在本书的部分章节中,作者对如何从浏览器中提取出用户密码进行了讨论。当你使用标准的登录方式来登录某个网站时,你所输入的用户名和密码将会以POST请求的形式发送至远程Web服务器。而需要注意的是,此时你的用户名和密码均是以明文的形式发送的。在此,我并不打算讨论关于SSL的内容,其实在SSL内部,这些数据仍然是明文形式的。

接下来,本书的作者继续讲述了如何定位这些POST请求,并尝试将这些请求数据提取出来。如果你刚好“逮到”了一个刚刚完成登录操作的浏览器,那么这种方法对你来说可能会非常有用。但如果用户使用了一个session(会话)来进行登录的话,那么你可能就无计可施了。

在我阅读本书的过程中,我无意中看了一眼我的浏览器,我发现我的LastPass插件图标上显示了一个数字1。这也就意味着LastPass已经帮我把当前这个域名的登录凭证保存下来了。

正常情况下,如果我访问了某个网站的登录页面,而我又开启了浏览器的“自动填写表单”功能,那么LastPass就会自动将该域名的凭证数据填写至登录表单中,然后浏览器将会通过POST请求来发送这些凭证数据。当然了,前提是我已经将该域名的凭证保存在LastPass中了。

但是我现在想要弄清楚的是,LastPass中存储的凭证数据到底是何时被解密的。是当页面中出现了表单域的时候呢,还是当域名被加载完成的时候?于是我准备搭建一个测试环境,让我们来看一看真相到底是什么!

环境搭建

我想要在内存中完成所有的操作,所以我必须找到一种简单的、可重复进行的方法来实现在内存中搜索数据。

最简单的方法就是当我每次对浏览器进行了修改操作之后,立刻进行一次内存转储(mem dump)。在虚拟机的帮助下,我只需要在每次修改之后创建一个快照(snapshot)就可以了。这样一来,每次修改之后我都能够得到一份内存数据的拷贝,然后就可以进行数据对比了。

接下来,我要安装几个目前最为常用的浏览器,例如Chrome、IE、或者火狐。然后配置好Lastpass插件(全部采用默认配置),并且使用该插件来生成并存储不同长度的密码,所有的密码都只包含字母与数字。除此之外,我还将所有的这些密码全部拷贝到了一份文档内,并将其保存在主机中。

完成这些操作之后,我退出了所有的账号,清除了浏览器的历史记录和临时文件,并且重启了设备。

实验方法

环境的搭建算是比较简单的了,但是实验过程可能会稍微有点复杂。实验的操作步骤大致如下:

1. 打开浏览器

2. 登录LastPass插件

3. 登录网站

4. 检查内存中是否出现了明文密码

5. 完成修改操作(关闭网页标签、恢复网页标签、注销)

6. 不断重复这些操作

实验一

首先,我打开了第一个网站—Facebook,然后登录了一个临时的Facebook账号。当我登录成功之后,我又访问了好几个其他的Facebook页面。这一系列操作完成之后,我并没有关闭这些网页标签,而是直接创建了一个快照。
手把手教你如何从内存中提取出LastPass的用户凭证
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/519305.html

标签分类:

上一篇:上一篇:网络安全之深入挖掘EMET
下一篇: 下一篇:堆栈环境安全分析:ASRL和Shell代码的那些事儿你知多少
无觅关联推荐,快速提升流量