KeeFarce – 直接从内存中KeePass 2.x数据库中提取密码的工具

KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。明文信息（包括用户名，密码，备注和URL）被转储到％AppData％中的CSV文件中。

该工具使用DLL注入在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现C＃代码执行。这会在适当的应用程序域内生成一个dot net运行时的实例，随后执行KeeFarceDLL.dll（主要的C＃有效内容）。

它使用CLRMD在KeePass进程堆中查找必要的对象，查找指向某些必需子对象的指针（使用偏移量），并使用反射调用导出方法。

为了在目标主机上执行，以下文件需要位于同一个文件夹中：
BootstrapDLL.dll
KeeFarce.exe
KeeFarceDLL.dll
Microsoft.Diagnostic.Runtime.dll

将这些文件复制到目标并执行KeeFarce.exe

KeeFarce已经过测试：
KeePass 2.28,2.29和2.30 - 在Windows 8.1上运行 - 都是32位和64位。
这应该也适用于较旧的Windows机器。如果您的目标不是上述内容，则建议您事先在实验室环境中进行测试。
下载地址：https://github.com/denandz/KeeFarce

文章出处：http://www.effecthacking.com，由华盟网翻译排版，转载请注明华盟网