• XSS.stack #1 – первый литературный журнал от юзеров форума

Как достать пароли из Firefox?

Отслеживать

tanto403

HDD-drive
Пользователь
Регистрация
26.08.2019
Сообщения
23
Реакции
8
Ребята, подскажите где лежат и чем шифруются пароли от Firefox?
Читал инфу, что в "signons.sqlite" в таблице "moz_logins", но че-то пароли сохраненные есть, а базы такой - нету.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Вот, этой утилитой можно достать пароли:

GitHub - AlessandroZ/LaZagne: Credentials recovery project

Credentials recovery project. Contribute to AlessandroZ/LaZagne development by creating an account on GitHub.
github.com
и почитай коментарии в коде:

LaZagne/Windows/lazagne/softwares/browsers/mozilla.py at master · AlessandroZ/LaZagne

Credentials recovery project. Contribute to AlessandroZ/LaZagne development by creating an account on GitHub.
github.com
 
Quake3 сказал(а):
https://xss.pro/threads/26922/
А ещё можно не дергать на клиенте nss либы фф для расшифровки. Достаточно спереть с машины key3.db/key4.db & cookies.sqlite & logins.json (или signons.sqlite если фф очень старый) и устроить оффлайн расшифровку на сервере. Как минимум детектов поубавишь + облегчишь вес билда. + не нужен sqlite хэндлер для парсинга бд на клиенте.

С хромом(и любой dpapi like защитой, кстати, тоже такое проделать можно.) Нужно
  • Мастер-ключи пользователя; Тут Users\%USER%\AppData\Roaming\Microsoft\Protect\%SID%\
  • Мастер-ключи системы; Тут windows\system32\Microsoft\Protect\S-1-5-18\
  • Файл CREDHIST (если это не доменная машина);
  • Пароль пользователя (или его sha1/ntlm хеш) (дампим, как сделать это без мимика на зараженной тачке - смотрим ired.team )
  • SID пользователя;
  • DPAPI-блобы, которые мы хотим расшифровать. (Они же находятся в файлах Login Data & Cookies в случае хрома)
 
Последнее редактирование:
Угу, а еще можно прийти домой к холдеру, выломать дверь и набить ебало. Но почему-то никто так не делает, как и не делает то, что ты описал... и всё.
 
Haunt сказал(а):
А ещё можно не дергать на клиенте nss либы фф для расшифровки. Достаточно спереть с машины key3.db/key4.db & cookies.sqlite & logins.json (или signons.sqlite если фф очень старый) и устроить оффлайн расшифровку на сервере. Как минимум детектов поубавишь + облегчишь вес билда. + не нужен sqlite хэндлер для парсинга бд на клиенте.

С хромом(и любой dpapi like защитой, кстати, тоже такое проделать можно.) Нужно
  • Мастер-ключи пользователя; Тут Users\%USER%\AppData\Roaming\Microsoft\Protect\%SID%\
  • Мастер-ключи системы; Тут windows\system32\Microsoft\Protect\S-1-5-18\
  • Файл CREDHIST (если это не доменная машина);
  • Пароль пользователя (или его sha1/ntlm хеш) (дампим, как сделать это без мимика на зараженной тачке - смотрим ired.team )
  • SID пользователя;
  • DPAPI-блобы, которые мы хотим расшифровать. (Они же находятся в файлах Login Data & Cookies в случае хрома)
 

Вложения

  • b2dfef7880ba120833e71fd9e55c56c0.png
    b2dfef7880ba120833e71fd9e55c56c0.png
    65 КБ · Просмотры: 60
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Достаточно спереть с машины key3.db/key4.db & cookies.sqlite & logins.json (или signons.sqlite если фф очень старый) и устроить оффлайн расшифровку на сервере. Как минимум детектов поубавишь + облегчишь вес билда. + не нужен sqlite хэндлер для парсинга бд на клиенте.
Но почему так никто не делает? Я стиллеры не кодил, но насколько мне известно, именно ФФ вызывает больше всего гемора у школьников разработчиков.
Ведь на РНР (и на сервере в целом) намного проще и лучше закодить декриптор.
Насчет хрома - телодвижений много, а с ФФ вполне. Или там большой размер этой базы получается?
 
Quake3 сказал(а):
Но почему так никто не делает? Я стиллеры не кодил, но насколько мне известно, именно ФФ вызывает больше всего гемора у школьников разработчиков.
Ведь на РНР (и на сервере в целом) намного проще и лучше закодить декриптор.
Насчет хрома - телодвижений много, а с ФФ вполне. Или там большой размер этой базы получается?
Не в ту сторону смотрите - так сложилось, что большой процент покупателей подобного софта не особо хотят выкладывать больше $10 за хост. В итоге хостятся на различных шаредах, где доступа к конфигам апача и php нету, а значит и подготовить веб сервак под условный декод бд мозиллы практически нереально. Поэтому, чтобы потом не засыпали сообщениями "на моем бесплатном хостинге от джино не работает, не рекомендую", приходится топорно работать с базами фф на машине в момент сбора данных.

Не было бы такого объема народа в церкви свидетелей азорульта, имело бы смысл под относительный приват написать софт с разбором большинства данных (фтп клиенты, фф, некоторые почтовые и тд) на сервере, но увы, рыночек порешал.

UPD
Базы весят не особо много, в наше время оптоволокна в каждый дом тащить с собой лог в пару mb труда не составит
 
oski_seller сказал(а):
что большой процент покупателей подобного софта не особо хотят выкладывать больше $10 за хост
на vultr инстанс брали себе за 5-15. cent os + docker. Все шикарно работает. Хз. На отмазы больше похоже, чем на правду.
 
Haunt сказал(а):
на vultr инстанс брали себе за 5-15. cent os + docker. Все шикарно работает. Хз. На отмазы больше похоже, чем на правду.
А теперь объясни это всему массмаркету снг, еще вчера сидевших на помойках вроде lolzteam :) (не реклама)
Можно продвигать использование хотя бы дедиков под c&c, но какой в этом смысл, если клиент говорит - ну у меня кряк азорульта/предатора/крота/аркея/чего-нибудь еще там на шареде работает, почему у вас не работает?

Поверь, будь это просто отмазками, рынок бы уже пестрил решениями, которые занимаются декодом данных на стороне сервера, но увы.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх