• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по шифрованию хрома

Отслеживать
Ladger

Ladger

RAID-массив
Пользователь
Регистрация
23.01.2024
Сообщения
82
Решения
1
Реакции
23
Всем здравствуйте, недавно хром обновился до новой версии и добавил новый алгоритм шифрования, кто сможет подсказать в какую сторону лучше посмотреть, просто везде так мало информации по этому поводу и со всех тем стиллеров кусками приходится выбирать.

Единственное предположение которое я нашел это работа с памятью гугла, но в ней я ничего конкретного не обнаружил, можно конечно куки получать расшифрованные с хрома, но там только с текущего профиля браузера тогда будет идти сбор, получается по итогу нужен все таки ключ, который хранится в сервисе, но сервис я не обнаружил, да и не знаю что в сервисе искать, поэтому прошу подсказки.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Apocalypse сказал(а):
т.ч нужен инжект в хром
На сколько я знаю QueryFullProcessImageNameW вызывает RPM и читает PEB у hProcess.
По идее достаточно менять путь к exe в своём софте и проверка пройдет успешно.
Инжект скорее всего оверхед
 
CheckerChin сказал(а):
вызывает RPM и читает PEB у hProcess
Ну ты чиво...

Код: 
7713FCE0 QueryFullProcessImageNameW        8BFF            MOV EDI,EDI
7713FCE2                                   55              PUSH EBP
7713FCE3                                   8BEC            MOV EBP,ESP
7713FCE5                                   83EC 0C         SUB ESP,0C
7713FCE8                                   8B4D 0C         MOV ECX,DWORD PTR SS:[EBP+0C]
7713FCEB                                   8365 FC 00      AND DWORD PTR SS:[EBP-4],00000000
7713FCEF                                   53              PUSH EBX
7713FCF0                                   8BD9            MOV EBX,ECX
7713FCF2                                   83E1 FE         AND ECX,FFFFFFFE
7713FCF5                                   83E3 01         AND EBX,00000001
7713FCF8                                   56              PUSH ESI
7713FCF9                                   57              PUSH EDI
7713FCFA                                   8D43 FF         LEA EAX,[EBX-1]
7713FCFD                                   22C3            AND AL,BL
7713FCFF                                   34 01           XOR AL,01
7713FD01                                   F7D9            NEG ECX
7713FD03                                   1AC9            SBB CL,CL
7713FD05                                   F6D1            NOT CL
7713FD07                                   84C8            TEST AL,CL
7713FD09                                   0F84 F2990300   JE 77179701
7713FD0F                                   8B7D 14         MOV EDI,DWORD PTR SS:[EBP+14]
7713FD12                                   8B0F            MOV ECX,DWORD PTR DS:[EDI]
7713FD14                                   81F9 FBFFFF7F   CMP ECX,7FFFFFFB
7713FD1A                                   0F87 C4990300   JA 771796E4
7713FD20                                   64:A1 30000000  MOV EAX,DWORD PTR FS:[30]
7713FD26                                   8D0C4D 08000000 LEA ECX,[ECX*2+8]
7713FD2D                                   51              PUSH ECX
7713FD2E                                   FF35 40262077   PUSH DWORD PTR DS:[77202640]
7713FD34                                   894D F8         MOV DWORD PTR SS:[EBP-8],ECX
7713FD37                                   8B40 18         MOV EAX,DWORD PTR DS:[EAX+18]
7713FD3A                                   50              PUSH EAX
7713FD3B                                   8945 F4         MOV DWORD PTR SS:[EBP-0C],EAX
7713FD3E                                   FF15 20532077   CALL DWORD PTR DS:[<&ntdll.RtlAllocateHeap>]
7713FD44                                   8BF0            MOV ESI,EAX
7713FD46                                   85F6            TEST ESI,ESI
7713FD48                                   0F84 9D990300   JE 771796EB
7713FD4E                                   6A 00           PUSH 0
7713FD50                                   FF75 F8         PUSH DWORD PTR SS:[EBP-8]
7713FD53                                   83F3 01         XOR EBX,00000001
7713FD56                                   56              PUSH ESI
7713FD57                                   C1E3 04         SHL EBX,4
7713FD5A                                   83C3 1B         ADD EBX,1B
7713FD5D                                   53              PUSH EBX
7713FD5E                                   FF75 08         PUSH DWORD PTR SS:[EBP+8]
7713FD61                                   FF15 08532077   CALL DWORD PTR DS:[<&ntdll.NtQueryInformationProcess>]

И там дальше из EPROCESS
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Apocalypse сказал(а):
Ну ты чиво...

Код: 
7713FCE0 QueryFullProcessImageNameW        8BFF            MOV EDI,EDI
7713FCE2                                   55              PUSH EBP
7713FCE3                                   8BEC            MOV EBP,ESP
7713FCE5                                   83EC 0C         SUB ESP,0C
7713FCE8                                   8B4D 0C         MOV ECX,DWORD PTR SS:[EBP+0C]
7713FCEB                                   8365 FC 00      AND DWORD PTR SS:[EBP-4],00000000
7713FCEF                                   53              PUSH EBX
7713FCF0                                   8BD9            MOV EBX,ECX
7713FCF2                                   83E1 FE         AND ECX,FFFFFFFE
7713FCF5                                   83E3 01         AND EBX,00000001
7713FCF8                                   56              PUSH ESI
7713FCF9                                   57              PUSH EDI
7713FCFA                                   8D43 FF         LEA EAX,[EBX-1]
7713FCFD                                   22C3            AND AL,BL
7713FCFF                                   34 01           XOR AL,01
7713FD01                                   F7D9            NEG ECX
7713FD03                                   1AC9            SBB CL,CL
7713FD05                                   F6D1            NOT CL
7713FD07                                   84C8            TEST AL,CL
7713FD09                                   0F84 F2990300   JE 77179701
7713FD0F                                   8B7D 14         MOV EDI,DWORD PTR SS:[EBP+14]
7713FD12                                   8B0F            MOV ECX,DWORD PTR DS:[EDI]
7713FD14                                   81F9 FBFFFF7F   CMP ECX,7FFFFFFB
7713FD1A                                   0F87 C4990300   JA 771796E4
7713FD20                                   64:A1 30000000  MOV EAX,DWORD PTR FS:[30]
7713FD26                                   8D0C4D 08000000 LEA ECX,[ECX*2+8]
7713FD2D                                   51              PUSH ECX
7713FD2E                                   FF35 40262077   PUSH DWORD PTR DS:[77202640]
7713FD34                                   894D F8         MOV DWORD PTR SS:[EBP-8],ECX
7713FD37                                   8B40 18         MOV EAX,DWORD PTR DS:[EAX+18]
7713FD3A                                   50              PUSH EAX
7713FD3B                                   8945 F4         MOV DWORD PTR SS:[EBP-0C],EAX
7713FD3E                                   FF15 20532077   CALL DWORD PTR DS:[<&ntdll.RtlAllocateHeap>]
7713FD44                                   8BF0            MOV ESI,EAX
7713FD46                                   85F6            TEST ESI,ESI
7713FD48                                   0F84 9D990300   JE 771796EB
7713FD4E                                   6A 00           PUSH 0
7713FD50                                   FF75 F8         PUSH DWORD PTR SS:[EBP-8]
7713FD53                                   83F3 01         XOR EBX,00000001
7713FD56                                   56              PUSH ESI
7713FD57                                   C1E3 04         SHL EBX,4
7713FD5A                                   83C3 1B         ADD EBX,1B
7713FD5D                                   53              PUSH EBX
7713FD5E                                   FF75 08         PUSH DWORD PTR SS:[EBP+8]
7713FD61                                   FF15 08532077   CALL DWORD PTR DS:[<&ntdll.NtQueryInformationProcess>]

И там дальше из EPROCESS
хех, чето протупил.
Ну тогда да, инжекты остаются
 
Apocalypse сказал(а):
elevation_service.exe чекает от какого процесса ему идут запросы, т.ч нужен инжект в хром

github.com

chromium/chrome/elevation_service/caller_validation.cc at main · chromium/chromium

The official GitHub mirror of the Chromium source. Contribute to chromium/chromium development by creating an account on GitHub.
github.com
Интересно, а что даст инжект?
Куки то прочитать можно из памяти, но все же интересно взаимодействие с ключом
 
Temas сказал(а):
github.com

GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Fully decrypt App-Bound Encrypted (ABE) cookies, passwords & payment methods from Chromium-based browsers (Chrome, Brave, Edge) - all in user mode, no admin rights required.

Fully decrypt App-Bound Encrypted (ABE) cookies, passwords & payment methods from Chromium-based browsers (Chrome, Brave, Edge) - all in user mode, no admin rights required. - xaitax/Chrome-App...
github.com
а как использовать ключ, после его получения? как разшифровать кук спомощью него?
 
lamajey сказал(а):
а как использовать ключ, после его получения? как разшифровать кук спомощью него?
Писать программу для декрипта данных, и в код вставлять этот ключ для дешифрования данных.
 
HikMbed сказал(а):
Писать программу для декрипта данных, и в код вставлять этот ключ для дешифрования данных.
а каким способом хром шифрует данные? aes256, 128, не подскажите?
 
Лично я реализовал если админ права есть, то делается полная расшифровка, без взаимодествия кома хрома. Стартуется свой же процесс как system и дальше через пайпы передаем сыну блобы дпапи которые нужно расшифровать в контексте system. Но после этого ждет сюрприз и ключ не остается расшифрованным. Второе шифрование ключа хрома утаили https://source.chromium.org/chromium/chromium/src/+/main:chrome/elevation_service/elevator.cc;l=29 здесь для хрома идет включение файла в котором есть определения на функции расшифровки, а папку internal не запушили гады. Поэтому логику шифрования получится узнать после реверса, хотя там нет ничего сложного, ничего такого нее намудрили они
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх