由于机房电脑配置实在太低,决定先从行为上分析密码相关的文件或注册表。
捕捉到大量相关行为,先筛选出该公司旗下的软件,发现了大量的操作。进一步筛选UI所在的进程(当时不确定是不是读密码的,相关进程太多了,只能挨个尝试)
软件在运行时的行为(约5s后)
1.png (778.83 KB, 下载次数: 0)
下载附件
软件在运行时的行为(约5s后)
2023-3-12 08:50 上传
清空后打开设置
3.png (273.58 KB, 下载次数: 0)
下载附件
清空后打开设置
2023-3-12 08:51 上传
观察到大量读取了mmr.ini,打开文件后,文件未加密但没有密码相关内容,部分内容如下:
[MMR]
CanSet=1
UseMMR=0
Term=x
AppSupport=QQPlayer.exe,mpc-hc.exe,StormPlayer.exe
IsWinServer=0
[QQPlayer.exe]
FileWhitelist_x=.mpg,.3gp,.avi,.flv,.m2ts,.mkv,.mp4,.mov,.rmvb,
FileWhitelist_l=.mpg,.3gp,.avi,.m2ts,.mp4,.mov,
FileWhitelist_a=.mpg,.3gp,.avi,.flv,.m2ts,.mkv,.mp4,.mov,.rmvb,
VideoWhitelist_x=AVC,VC-1,WMV2,RealVideo 4,MPEG-4 Visual,
AudioWhitelist_x=AAC,WMA,DTS,AC-3,MPEG Audio,
VideoWhitelist_l=AVC,VC-1,WMV2,MPEG-4 Visual,
AudioWhitelist_l=AAC,WMA,DTS,MPEG Audio,PCM,
VideoWhitelist_a=AVC,VC-1,WMV2,RealVideo 4,MPEG-4 Visual,
AudioWhitelist_a=AAC,WMA,DTS,AC-3,MPEG Audio,PCM,
..................
这个说不定就是设置的内容吧 :rggrg
随机输入密码尝试,发现除了上述操作和输入法操作外出现了新的文件:
Snipaste_2023-03-12_08-57-13.png (1.01 MB, 下载次数: 0)
下载附件
输入密码
2023-3-12 08:57 上传
打开文件,内容如下(密码部分隐藏):
[Plain Text] 纯文本查看 复制代码4f6f58e044********e6e04e2c9fc04
盲猜md5,将123456的md5导入覆盖(疑似的密码文件都没有保护,普通权限直接保存了:rggrg ),打开设置测试:
4.png (823.81 KB, 下载次数: 0)
下载附件
设置
2023-3-12 09:00 上传
很好,密码直接md5处理都没加盐就保存了,文件还一点都没有保护。
接下来就是md5反查,somd5免费查询找到了原密码,就是软件公司的网址.........
经检验确定密码互通,学校不让带手机,那个状态截不了图。
顺便问一句,表情为啥都变成代码了发不出来?
