什么是KeePass

KeePass 是一款免费的开源密码管理器，可帮助你以安全的方式管理你的密码。你可以将所有密码存储在一个数据库中，该数据库由一把万能钥匙锁定。因此，你只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法（AES-256、ChaCha20 和 Twofish）进行加密。

为什么会有KeePass

在日常生活中，我们会用到很多网站或者app的密码，只不过通常我们会选择保存在电脑的浏览器当中，但是一些保密性强的企业并不允许员工直接将密码文件保存在相关的浏览器当中，因为已经有相关的漏洞能够导出浏览器的密码（Chrome、Firefox均有），或者黑客如果获取到你的计算机密码，可以直接通过浏览器的密码管理器来导出你所有的密码。所以就有了KeePass这个类别的产品，类似的产品还有1Password。

漏洞描述

在2.54之前的KeePass 2.x中，即使工作区被锁定或不再运行，也可以从内存转储中恢复明文主密码。内存转储可以是整个系统的KeePass进程转储、交换文件(pagefile.sys)、休眠文件(Hiberfil.sys)或RAM转储。无法恢复第一个字符。在2.54中，有不同的API使用和/或随机字符串插入来缓解。
目前在KeePass官网可以看到最新的2.xx版本才更新到2.52，但是此漏洞预计会在2.54版本中修复，据了解，大概在2023年的7月才会发布最新的2.54版本。目前已经有此漏洞的CVE编号：CVE-2023-32784

如果你在使用KeePass，你能做什么？

首先，更新到 KeePass 2.54 或更高版本（一旦可用）。其次，如果你长期使用 KeePass，你的主密码（以及可能的其他密码）可能在你的页面文件/交换文件和休眠文件中。
根据你的偏执程度，你可以考虑以下步骤来解决问题：

• 更改你的主密码
• 删除休眠文件
• 删除页面文件/交换文件（可能很烦人）
• 覆盖 HDD 上已删除的数据以防止复制（例如，在 Windows 上使用 /w 加密）
• 重启你的电脑
• 覆盖你的硬盘并重新安装你的操作系统。

相关POC

请参考Github上发布的POC
vdohney/Keepass-password-dumper

这个POC能干什么?

KeePass Master Password Dumper 是一个简单的概念验证工具，用于从 KeePass 的内存中转储主密码。除了第一个密码字符外，它大多能够以明文形式恢复密码。
不需要在目标系统上执行代码，只需内存转储。
内存的来源并不重要——可以是整个系统的进程转储、交换文件 (pagefile.sys)、休眠文件 (hiberfil.sys) 或 RAM 转储。工作区是否被锁定并不重要。
在 KeePass 不再运行后，也可以从 RAM 中转储密码，尽管从那以后，这种工作的机会随着时间的推移而下降。
在 Windows 上使用 KeePass 2.53.1 进行测试。应该也适用于 Linux 和 macOS 版本

这个POC是如何工作的?

KeePass 2.X 使用自定义开发的文本框来输入密码，SecureTextBoxEx。此文本框不仅用于输入主密码，还用于 KeePass 的其他地方，如密码编辑框（因此攻击也可用于恢复其内容）。

这里利用的缺陷是，对于键入的每个字符，都会在内存中创建一个剩余的字符串。由于 .NET 的工作方式，一旦创建就几乎不可能摆脱它。例如，当输入“密码”时，将产生以下剩余字符串：•a、••s、•••s、••••w、•••••o、••••••r , •••••••d。POC 应用程序在转储中搜索这些模式，并为密码中的每个位置提供可能的密码字符。

这种攻击的可靠性可能会受到密码输入方式和每个会话输入密码数量的影响。但是，我发现即使每个会话或错别字有多个密码，.NET CLR 分配这些字符串的方式也意味着它们很可能在内存中被很好地排序。因此，如果键入三个不同的密码，你可能会按顺序为每个字符位置获得三个候选密码，这使得恢复所有三个密码成为可能。

相关讨论

Sourceforge讨论板块