• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Расшифровка Login data

20.05.2022
67
4
BIT
0
Есть бд с паролями из гугла, вся инфа открыта кроме паролей. Вместо паролей написано blob. Как перевести в текст
 

Exited3n

Red Team
10.05.2022
682
228
BIT
472
20.05.2022
67
4
BIT
0
BLOB это двоичные данные, пример бы какой привел. Пароли в хешах как правило.
Пример:
763130bcd47e88945a7a2880590d5129
786f5b8ceddb0d7c3a9b2cb191c509fc
f0fd5734fb55b54f34

Как это расшифровывать? Пожалуйста, только не брутфорс!
 
20.05.2022
67
4
BIT
0
Это хешики, брутфорс, а как иначе то ?
1. Пишут еще про пользовательские ключи по которым гугл понимает что пароль находится в правильных руках, можно ли как то и этот ключ украсть чтобы не брутить?

2. В статье на хабре(ссылку не пропускают) в файл для отправки записываются сразу расшифрованные пароли. Получется что на ос жертвы данные никак не зашифрованы?
 

Exited3n

Red Team
10.05.2022
682
228
BIT
472
1. Пишут еще про пользовательские ключи по которым гугл понимает что пароль находится в правильных руках, можно ли как то и этот ключ украсть чтобы не брутить?

2. В статье на хабре(ссылку не пропускают) в файл для отправки записываются сразу расшифрованные пароли. Получется что на ос жертвы данные никак не зашифрованы?
1. Обычно используют куки и по ним получают доступ к учетке.
2. Если данные пишутся в открытом виде, то это большой косяк разработчика. Либо используют атаку типа MitM и перехватывают данные.
 
20.05.2022
67
4
BIT
0
1. Обычно используют куки и по ним получают доступ к учетке.
2. Если данные пишутся в открытом виде, то это большой косяк разработчика. Либо используют атаку типа MitM и перехватывают данные.
Поповоду куки нужно просто получить эти файлы с пк жертвы и заменить их на своем и все? И будет доступ к гугл учетке?
 

Exited3n

Red Team
10.05.2022
682
228
BIT
472
Какие? Можно подробное описание, ну статью какую нибудь?
Статьи по гуглу у меня нет. Гугл старается бороться с такой "фигней", например если куки у человека из тайланда, а ты зайдешь под своим IP где нибудь в Мск, то аккаунт может заблочиться за подозрительную активность. Как пример у сайтов и сервисов рангом пониже такого нет. Куки подсунул и вперед. :)
 
20.05.2022
67
4
BIT
0
Статьи по гуглу у меня нет. Гугл старается бороться с такой "фигней", например если куки у человека из тайланда, а ты зайдешь под своим IP где нибудь в Мск, то аккаунт может заблочиться за подозрительную активность. Как пример у сайтов и сервисов рангом пониже такого нет. Куки подсунул и вперед. :)
а где хранятся? Или там от версии зависит?
 

Exited3n

Red Team
10.05.2022
682
228
BIT
472
20.05.2022
67
4
BIT
0
Куки ? На диске конечно, зависит от браузера, ОС.
У гугл хрома на винде например где то здесь C:\Users\Имя_пользователя\AppData\Local\Google\Chrome\User Data\Default
Поискал. Нашел файл cookies, то есть только он нужен?
 

Вложения

  • cookies.png
    cookies.png
    134,9 КБ · Просмотры: 379

Marylin

Mod.Assembler
Red Team
05.06.2019
298
1 321
BIT
168
Пример:
763130bcd47e88945a7a2880590d5129
786f5b8ceddb0d7c3a9b2cb191c509fc
f0fd5734fb55b54f34
Это не хэш пароля, а зашифрованные алгоритмом AES-256/GSM данные (пароль или кукис).
Хром начиная с версии 80+ шифрует блобы именно этим алго, при этом если вы стянули базу с другого компа, то нужно было сразу прихватывать и ключ шифрования из файла AppData\Local\Google\Chrome\UserData\Local State. Иначе расшифровать данные вы просто не сможете.

Попробуйте загрузить в хек-редактор строку из своего примера,
и увидите вначале сигнатуру v10, которая указывает на AES/GSM.
Если разбить данные по назначению, то получим следующую картину, где первая и последняя строка - это служебная инфа, а сам пароль находится в средней строке:

763130bcd47e88945a7a2880590d51 29786f5b8ceddb0d7c 3a9b2cb191c509fcf0fd5734fb55b54f34
 
30.09.2022
5
0
BIT
9
Это не хэш пароля, а зашифрованные алгоритмом AES-256/GSM данные (пароль или кукис).
Хром начиная с версии 80+ шифрует блобы именно этим алго, при этом если вы стянули базу с другого компа, то нужно было сразу прихватывать и ключ шифрования из файла AppData\Local\Google\Chrome\UserData\Local State. Иначе расшифровать данные вы просто не сможете.

Попробуйте загрузить в хек-редактор строку из своего примера,
и увидите вначале сигнатуру v10, которая указывает на AES/GSM.
Если разбить данные по назначению, то получим следующую картину, где первая и последняя строка - это служебная инфа, а сам пароль находится в средней строке:

763130bcd47e88945a7a2880590d51 29786f5b8ceddb0d7c 3a9b2cb191c509fcf0fd5734fb55b54f34
не подскажете как генерируется 3 строка, судя по всему это хеш для проверки на целостность данных
 

nika666991

Member
08.01.2023
5
0
BIT
0
L
Это не хэш пароля, а зашифрованные алгоритмом AES-256/GSM данные (пароль или кукис).
Хром начиная с версии 80+ шифрует блобы именно этим алго, при этом если вы стянули базу с другого компа, то нужно было сразу прихватывать и ключ шифрования из файла AppData\Local\Google\Chrome\UserData\Local State. Иначе расшифровать данные вы просто не сможете.

Попробуйте загрузить в хек-редактор строку из своего примера,
и увидите вначале сигнатуру v10, которая указывает на AES/GSM.
Если разбить данные по назначению, то получим следующую картину, где первая и последняя строка - это служебная инфа, а сам пароль находится в средней строке:

763130bcd47e88945a7a2880590d51 29786f5b8ceddb0d7c 3a9b2cb191c509fcf0fd5734fb55b54f34
Добрый день. А если не показало данные в текстовом виде, как можно посмотреть?
Уточню, что я потеряла пароль от почты. Год назад искала способы и забила,ибо никак не вышло. Но файл Login Data я сохранила. Решила еще "помучиться"через DB Browser for SQLite виден пароль,как BLOB и двоичный код. Вы не подскажите, как просмотреть пароль используя файл Local State?
Или же есть способ скопировав двоичный код(где три строки)через "FlexHEX" либо "hxd-hex-editor"просмотреть текст,ибо так значение v10и дальше абракодабра)))Спасибо большое!
 
30.09.2022
5
0
BIT
9
L

Добрый день. А если не показало данные в текстовом виде, как можно посмотреть?
Уточню, что я потеряла пароль от почты. Год назад искала способы и забила,ибо никак не вышло. Но файл Login Data я сохранила. Решила еще "помучиться"через DB Browser for SQLite виден пароль,как BLOB и двоичный код. Вы не подскажите, как просмотреть пароль используя файл Local State?
Или же есть способ скопировав двоичный код(где три строки)через "FlexHEX" либо "hxd-hex-editor"просмотреть текст,ибо так значение v10и дальше абракодабра)))Спасибо большое!
Если винду не переустанавливали то расшифровать можно, иначе это уже бесполезные данные

пишите в тг Vavan помогу если система все та же
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!