Ultima modifica:
Ho realizzato questo script sia come sfida che per fare pratica con PowerShell. La sfida consisteva nell'usare solo PS (senza compilare C# o VB) per il task di estrazione e decodifica delle password salvate di Google Chrome. Mentre per AES GCM sono riuscito ad inventarmi qualcosa per fare tutto in PS, per SQLite ho dovuto usare una libreria esterna in quanto Microsoft non ne propone una built-in con il framework e non ci sono dll utilizzabili nel sistema di default.
Nel pacchetto allegato vi sono 3 file:
La password dell'archivio è infected
Il file ps1 e la shortcut possono essere rinominati a piacere in qualunque momento, per rinominare la DLL invece va aggiornato il nome nello script.
Esempio di estrazione dati prodotto:
Nota: per funzionare su OS che di default hanno .net framework più vecchio di 4.6 (es. Windows 7) potrebbe essere necessario sostituire System.Data.SQLite.dll con una versione precedente, potete scaricarla dal sito ufficiale di sqlite per .net.
Nota2: i più smanettoni possono aggiornare lo script in modo da scaricare la dll da remoto, non l'ho fatto per due motivi: volevo fosse funzionante offline e per evitare di delegare l'hosting della dll all'utente l'unica alternativa era scaricare tutto il bundle dal sito ufficiale, il che mi sembrava ancora più sporco dovendo fare unzip e seminando un sacco di file in temp.
Esempio (lamer) d'uso: inserire la shortcut e la dll su una USB, doppio click sulla shortcut nel pc vittima... profit.
Nel pacchetto allegato vi sono 3 file:
- pows.ps1 è lo script per intero, di default non parte con doppio click, andrebbe eseguito manualmente con powershell (è incluso per facilitarvi la consultazione del codice)
- pows_shortcut è una shortcut speciale: contiene il codice dello script e viene immediatamente eseguito appena viene fatto doppio click (non necessita che il file ps1 sia nei paraggi, è embedded al suo interno)
- System.Data.SQLite.dll è necessaria per l'estrazione dei login, deve trovarsi in un percorso raggiungibile dallo script, non è eseguibile dall'utente cliccando
La password dell'archivio è infected
Il file ps1 e la shortcut possono essere rinominati a piacere in qualunque momento, per rinominare la DLL invece va aggiornato il nome nello script.
Esempio di estrazione dati prodotto:
Codice:
Source: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Login Data
URL: https://www.facebook.com/
Name: publicuserlol
Pass: secretpassword123
--------------
URL: https://outlook.com/
Name: [email protected]
Pass: superhidden321!
Source: C:\Users\user\AppData\Local\Google\Chrome\User Data\SecondProfile\Login Data
URL: https://www.facebook.com/
Name: anotherfbuser
Pass: facebooksucks999
Nota: per funzionare su OS che di default hanno .net framework più vecchio di 4.6 (es. Windows 7) potrebbe essere necessario sostituire System.Data.SQLite.dll con una versione precedente, potete scaricarla dal sito ufficiale di sqlite per .net.
Nota2: i più smanettoni possono aggiornare lo script in modo da scaricare la dll da remoto, non l'ho fatto per due motivi: volevo fosse funzionante offline e per evitare di delegare l'hosting della dll all'utente l'unica alternativa era scaricare tutto il bundle dal sito ufficiale, il che mi sembrava ancora più sporco dovendo fare unzip e seminando un sacco di file in temp.
Esempio (lamer) d'uso: inserire la shortcut e la dll su una USB, doppio click sulla shortcut nel pc vittima... profit.