Domanda Chrome password stealer, si può ancora fare

Massimiliano dolcini

Utente Silver
26 Dicembre 2017
105
4
55
Salve a tutti, innanzitutto scrivo per un mio dubbio, perchè ho ritirato fuori dal cassetto arduino micro, e ho iniziato a smanettarci un po per ricreare una usb rubber ducky.
Ho scelto di usare il payload che prende le password di chrome (per esempio di facebook o gmail) e che la invia ad un indirizzo mail, dopo un po mi sono accorto che il payload è di due anni fa e infatti non funzionava più, perchè ad ogni tentativo di copiare una password, chiede i dati di accesso.
Allora ho provato ad ispezionare la sorgente della pagina
chrome://settings/password
per modificare il codice javascript e far si che anche solo un alert mi mostrasse la password, ma poi, come immaginavo, non mi faceva eseguire codice js, neanche con una js injection.
Quindi volevo chiedere al giorno oggi è possibile ricavare le password di chrome, modificando qualcosa all'interno della sorgente, oppure direttamente con i tasti premuti, come farebbe una usb rubber ducky.
Grazie
 
Supporta Inforge con una donazione
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker

Hastro

Helper
14 Febbraio 2012
309
83
148
Ogni istanza di chrome é a stretto contatto con il sistema operativo in uso. La sorgente di cui tu parli non é unica. Per svelare le password é necessario fare una sys call, passare id e password (in caso di windows) e poi successivamente verrebbero svelate le password. Ma ci sono troppi sistemi di sicurezza e ambienti privati...
 

Injection

Utente Silver
24 Aprile 2018
87
29
55
Io ricordo che con la mia rubber ducky utilizzai un payload che restituisce, tramite l'esecuzione di uno script powershell, la password del sistema in chiaro. Tramite l'unione dei due payload secondo me qualcosa si può fare, ma bisogna lavorarci un pochino. Quel payload funzionava su windows 7 comunque, mai testato sul 10.
 

Hastro

Helper
14 Febbraio 2012
309
83
148
WInodws 10 ha anche gli account online ect ... ci si dovrebbe lavorare un bel po', e chrome ha le istanze protette, eseguire un injection non sarà facile. Tutto è possibile, ma la mole di lavoro è un po' grande...sarebbe da vedere qualche script usato per esempio nel konbot così la bypassi direttamente
 
  • Mi piace
Reactions: Dany Dollaro
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione

slash91x

Utente Bronze
6 Marzo 2016
23
4
38
Riprendo la discussione, qualcuno ci è riuscito? io ho buttato giù un po di roba con la rubber, ovviamente la funzione che usa chrome interroga l'ID macchina e le credenziali windows (ottenibili facilmente), qualcuno è riuscito ad unire queste due cose e decriptare le password?
 

JunkCoder

Moderatore
5 Giugno 2020
759
610
345
Si può fare, solo non con semplici script da rubber ducky. Ti serve un software completo che possa usufruire delle API di Windows ed eseguire operazioni crittografiche. Una volta che è pronto puoi scaricarlo/eseguirlo da rubber ducky.
I browser chromium-based usano un file chiamato Login Data che è un database SQLite, per cui ti serve realizzare un programma che usa la libreria SQLite per poterlo interrogare, dopodiché per decifrare il campo della password ti serve ottenere la Master Key cifrata dal file in JSON, Local State, decodificarla da base64, e decifrarla usando l'API nativa di Windows CryptUnprotectData. Con questa chiave ottenuta puoi decifrare tutti i campi delle password usando AES GCM a 256 bit. Sicuramente non è semplice, e la cosa è voluta, ma con queste informazioni oltre a poterlo sviluppare puoi trovare degli esempi già pronti in rete.
 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione

slash91x

Utente Bronze
6 Marzo 2016
23
4
38
Ultima modifica:
Si può fare, solo non con semplici script da rubber ducky. Ti serve un software completo che possa usufruire delle API di Windows ed eseguire operazioni crittografiche. Una volta che è pronto puoi scaricarlo/eseguirlo da rubber ducky.
I browser chromium-based usano un file chiamato Login Data che è un database SQLite, per cui ti serve realizzare un programma che usa la libreria SQLite per poterlo interrogare, dopodiché per decifrare il campo della password ti serve ottenere la Master Key cifrata dal file in JSON, Local State, decodificarla da base64, e decifrarla usando l'API nativa di Windows CryptUnprotectData. Con questa chiave ottenuta puoi decifrare tutti i campi delle password usando AES GCM a 256 bit. Sicuramente non è semplice, e la cosa è voluta, ma con queste informazioni oltre a poterlo sviluppare puoi trovare degli esempi già pronti in rete.
confermo in tutto, questo lo fà in automatico chromepass di nirsoft che ovviamente è detected da defender, ma comunque ci sono altre strade per essere più stealth, quindi con una rubber ducky o similare si può fare.
 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione

IlMagoDeiTeoremi

Utente Bronze
30 Marzo 2021
55
13
33
più facile bypassare "defender" che cambiare software per lo steal :/


P.s. ovviamente è una battuta -.-
Avendo già a portata di mano la rubber ducky o l’arduino quel che sia tanto vale la pena fare un semplice script che disabilita windows defender e poi mettere chromepass di nirsoft sempre nel pc vittima no? e poi sempre con lo script salvare il file delle password e mandarlo per email mi sembra la cosa più facile da fare
 

slash91x

Utente Bronze
6 Marzo 2016
23
4
38
Avendo già a portata di mano la rubber ducky o l’arduino quel che sia tanto vale la pena fare un semplice script che disabilita windows defender e poi mettere chromepass di nirsoft sempre nel pc vittima no? e poi sempre con lo script salvare il file delle password e mandarlo per email mi sembra la cosa più facile da fare
troppo sgamata come cosa, quando disabiliti defender, stesso windows ti genera l'alert ed esce come avviso, è meglio fare tutti questi passaggi a mano e sfruttando il DPAPI con mimikatz, a meno che non riesci ad offuscare il tool chromepass o similari.
 
Supporta Inforge con una donazione
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker